Zum Hauptinhalt springen
Steine

Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:
Heike Frank

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unserer Datenschutzverantwortlichen können Sie jederzeit folgende Rechte ausüben:

  • Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO),
  • Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),
  • Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO),
  • Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO),
  • Widerspruch gegen die Verarbeitung Ihrer Daten bei uns (Art. 21 DSGVO) und Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben (Art. 20 DSGVO).

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde des Bundeslands Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.


SSL bzw. TLS-Verschlüsselung

Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.


Erhebung, Nutzung und Speicherung von Daten beim Besuch unserer Webseite

Wir nutzen als Webhosting-Provider die 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, im Rahmen einer Auftragsdatenverarbeitung, dh. dieses Unternehmen wird in unserem Auftrag tätig, um die Webseite technisch an Sie auszuliefern. Wir bleiben Ihnen gegenüber verantwortliche Stelle, so dass wir auch nachfolgend von „Wir“ sprechen, obwohl die 1&1 IONOS dies technisch für uns abwickelt.

Wenn Sie unsere Webseite besuchen, erhalten wir von Ihrer EDV Ihre vollständige IP-Adresse. Nur mit dieser IP-Adresse können wir Ihnen die Daten unserer Webseite übertragen, damit die Webseite Ihnen angezeigt wird (Art. 6 Abs. 1 b und f DSGVO). Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an Ihren Rechner zu ermöglichen. Hierfür kann Ihre IP-Adresse für die Dauer der Sitzung gespeichert bleiben müssen. Da Sie die Webseite angefordert haben, liegt dies im gemeinsamen berechtigten Interesse. Ihre IP-Adresse müssen wir an die Internet-Provider geben, um die Webseitendaten an Sie übertragen zu lassen.

Über die Verarbeitung zum Übertragen der abgerufenen Daten hinaus, wird die vollständige IP-Adresse nicht verarbeitet oder gespeichert.

Eine Widerspruchsmöglichkeit besteht nicht, da diese Vorgänge zum Betrieb der Webseite zwingend erforderlich sind. Bitte besuchen Sie unsere Seite nicht, wenn Sie widersprechen möchten.

Jegliche Nutzung Ihrer personenbezogenen Daten erfolgt nur zu den genannten Zwecken und in dem zur Erreichung dieser Zwecke erforderlichen Umfang.

Übermittlungen personenbezogener Daten an staatliche Einrichtungen und Behörden erfolgen nur im Rahmen zwingender nationaler Rechtsvorschriften oder wenn die Weitergabe im Fall von Angriffen auf unsere Netzinfrastruktur zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe zu anderen Zwecken an Dritte findet nicht statt.


Information über Ihr Widerspruchsrecht nach Art. 21 DSGVO

Einzelfallbezogenes Widerspruchsrecht
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO. Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung,

Ausübung oder Verteidigung von Rechtsansprüchen.
Empfänger eines Widerspruchs
Heike Frank


Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an die Datenschutzverantwortliche
Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz verantwortliche Person in unserer Organisation: Heike Frank

Die Datenschutzerklärung wurde mithilfe der activeMind AG erstellt, den Experten für externe Datenschutzbeauftragte (Version #2020-09-30).


Ihre Nachricht an uns per E-Mail

Sollten Sie mit uns per E-Mail in Kontakt treten wollen, weisen wir darauf hin, dass der Inhalt unverschlüsselter E-Mails von Dritten eingesehen werden kann. Wir empfehlen daher, vertrauliche Informationen verschlüsselt oder über den Postweg zuzusenden.


Facebook

Wir verfügen über ein Profil bei Facebook. Anbieter ist die Facebook Inc., 1 Hacker Way, Menlo Park, California 94025, USA. Facebook verfügt über eine Zertifizierung nach dem EU-US-Privacy-Shield.

Sie können Ihre Werbeeinstellungen selbstständig in Ihrem Nutzer-Account anpassen. Klicken Sie hierzu auf folgenden Link und loggen Sie sich ein:
https://www.facebook.com/settings?tab=ads
Details entnehmen Sie der Datenschutzerklärung von Facebook:
https://www.facebook.com/about/privacy/

Zudem hält Facebook folgende Informationen hinsichtlich der gemeinsamen Verarbeitung nach Art. 26 DSGVO bereit:
„Informationen zu Seiten-Insights
Wenn Personen die Facebook-Produkte wie u. a. Seiten nutzen, erhebt Facebook (auch „wir“ oder „uns“) Informationen wie in der Facebook-Datenrichtlinie unter „Welche Arten von Informationen erfassen wir?“ beschrieben (Informationen dazu, wie wir Cookies und ähnliche Technologien verwenden, erhältst du in unserer Cookie-Richtlinie). Dies umfasst auch Informationen darüber, wie Personen die Facebook-Produkte nutzen, wie zum Beispiel die Arten von Inhalten, die sie sich ansehen oder mit denen sie interagieren, oder die von ihnen vorgenommenen Handlungen (siehe unter „Von dir und anderen getätigte und bereitgestellte Dinge“ in der Facebook-Datenrichtlinie), sowie Informationen über die von ihnen genutzten Geräte
(z. B. IP-Adressen, Betriebssystem, Browsertyp, Spracheinstellungen, Cookie-Daten; siehe unter „Geräteinformationen“ in der Facebook-Datenrichtlinie). Welche Informationen Facebook tatsächlich erfasst, hängt davon ab, ob und wie Personen die Facebook-Produkte nutzen.
Wie in der Facebook-Datenrichtlinie unter „Wie verwenden wir diese Informationen?“ erläutert, erhebt und verwendet Facebook Informationen auch, um Analysedienste, so genannte SeitenInsights, für Seitenbetreiber bereitzustellen, damit diese Erkenntnisse darüber erhalten, wie Personen mit ihren Seiten und mit den mit ihnen verbundenen Inhalten interagieren. Die Verarbeitung personenbezogener Daten für Seiten-Insights unterliegt möglicherweise der nachfolgenden Vereinbarung über die gemeinsame Verantwortlichkeit (Seiten-Insights-Ergänzung bezüglich des Verantwortlichen).

Datenverarbeitung für Seiten-Insights
Bei Seiten-Insights handelt es sich um zusammengefasste Statistiken, die anhand bestimmter Events erstellt werden, die von den Facebook-Servern protokolliert werden, wenn Personen mit Seiten und den mit ihnen verbundenen Inhalten interagieren. Solche Events bestehen aus unterschiedlichen Datenpunkten, zu denen, abhängig von dem jeweiligen Event, zum Beispiel die folgenden zählen:

  • Eine Handlung. Dies umfasst beispielsweise folgende Handlungen (du kannst die für deine Seite verfügbaren Handlungen im Insights-Bereich deiner Seite sehen):
    - Eine Seite, einen Beitrag, ein Video, eine Story oder sonstige mit einer Seite verbundene Inhalte ansehen
    - Mit einer Story interagieren
    - Eine Seite abonnieren bzw. nicht mehr abonnieren
    - Eine Seite oder einen Beitrag mit „Gefällt mir“ oder „Gefällt mir nicht mehr“ markieren
    - Eine Seite in einem Beitrag oder Kommentar empfehlen
    - Einen Seitenbeitrag kommentieren, teilen oder auf ihn reagieren (einschließlich der Art der Reaktion)
    - Einen Seitenbeitrag verbergen oder als Spam melden
    - Die Maus über einen Link zu einer Seite oder den Namen oder das Profilbild einer Seite bewegen, um eine Vorschau der Seiteninhalte zu sehen
    - Auf den Website-, Telefonnummer-, „Route planen“-Button oder einen anderen Button auf einer Seite klicken
    - Die Veranstaltung einer Seite sehen, auf eine Veranstaltung reagieren (einschließlich der Art der Reaktion), auf einen Link für Veranstaltungstickets klicken
    - Eine Messenger-Unterhaltung mit der Seite beginnen
    - Artikel in einem Seiten-Shop ansehen oder anklicken
  • Informationen zur Handlung, zur Person, die die Handlung vorgenommen hat, und zu dem/der dafür verwendeten Browser/App. Dies sind zum Beispiel:
    - Datum und Zeit der Handlung
    - Land/Stadt (geschätzt anhand der IP-Adresse oder bei eingeloggten Nutzern aus dem Nutzerprofil importiert)
    - Sprachencode (aus dem HTTP-Header des Browsers und/oder der Spracheinstellung)
    - Alters-/Geschlechtergruppe (aus dem Nutzerprofil, nur bei eingeloggten Nutzern)
    - Zuvor besuchte Websites (aus dem HTTP-Header des Browsers)
    - Ob die Handlung auf einem Computer oder auf einem Mobilgerät vorgenommen wurde (aus dem Browser User Agent oder aus App-Attributen)
    - Facebook-Nutzer-ID (nur für eingeloggte Nutzer)


Ob es sich bei den Personen um eingeloggte Nutzer von Facebook handelt, ermitteln wir mithilfe von Cookies, die wir gemäß unserer Cookie-Richtlinie einsetzen. Nur wenige Events können von Personen ausgelöst werden, die nicht bei Facebook eingeloggt sind. Dazu gehören u. a. das Besuchen einer Seite oder das Klicken auf ein Foto oder Video in einem Beitrag, um es anzusehen. Seitenbetreiber haben keinen Zugriff auf die personenbezogenen Daten, die im Rahmen von Events
verarbeitet werden, sondern nur auf die zusammengefassten Seiten-Insights. Events, die zum Erstellen von Seiten-Insights verwendet werden, speichern außer einer Facebook-Nutzer-ID für bei Facebook eingeloggte Personen keine IP-Adressen, Cookie-IDs oder irgendwelche anderen Kennungen, die Personen oder ihren Geräten zugeordnet sind.
Die Events, die Facebook protokolliert, um Seiten-Insights zu erstellen, werden ausschließlich von Facebook festgelegt und können von Seitenbetreibern nicht eingerichtet, geändert oder auf sonstige Weise beeinflusst werden.

Seiten-Insights-Ergänzung bezüglich des Verantwortlichen
Wenn eine Interaktion von Personen mit deiner Seite und den mit ihr verbundenen Inhalten die Erstellung eines Events für Seiten-Insights auslöst, das personenbezogene Daten enthält, für deren Verarbeitung du (und/oder jeglicher Dritter, für den du die Seite erstellst oder verwaltest) die Mittel und Zwecke der Verarbeitung gemeinsam mit Facebook Ireland Limited festlegst, erkennst du in deinem eigenen Namen (und als Vertreter für jeden solchen Dritten und in dessen Namen) an und
stimmst zu, dass diese Seiten-Insights-Ergänzung bezüglich des Verantwortlichen („Seiten-Insights-Ergänzung“) gilt:

  • Du und Facebook Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Facebook Ireland“, „wir“ oder „uns“; zusammen die „Parteien“) erkennen an und stimmen zu, gemeinsam Verantwortliche gemäß Artikel 26 DSGVO für die Verarbeitung dieser personenbezogenen Daten in Events für Seiten-Insights („Insights-Daten“) zu sein. Die gemeinsame Verantwortlichkeit umfasst die Erstellung dieser Events und ihre Zusammenführung in Seiten-Insights, die dann den Seitenbetreibern zur Verfügung gestellt werden. Die Parteien stimmen überein, dass Facebook Ireland und ggf. du für jegliche andere Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Seite und/oder den mit ihr verbundenen Inhalten, für die keine gemeinsame Entscheidung über die Zwecke und Mittel erfolgt, eigenständige und unabhängige Verantwortliche bleiben.
  • Die Verarbeitung der Insights-Daten unterliegt den Bestimmungen dieser Seiten-Insights-Ergänzung. Diese gelten für sämtliche Aktivitäten, in deren Verlauf Facebook Ireland, ihre Mitarbeiter oder ihr(e) Auftragsverarbeiter Insights-Daten verarbeiten.
  • Hinsichtlich der Erfüllung der Verpflichtungen aus der DSGVO durch Facebook Ireland und dich hinsichtlich der Verarbeitung von Insights-Daten wird Folgendes festgelegt:
    - Facebook Ireland: Facebook Ireland stellt sicher, dass sie eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hat, die in der Datenrichtlinie von Facebook Ireland dargelegt ist (siehe unter „Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“). Sofern in dieser Seiten-Insights-Ergänzung nichts anderes angegeben wird, übernimmt Facebook Ireland die Erfüllung der Verpflichtungen aus der DSGVO für die Verarbeitung von Insights-Daten (u.a. Artikel 12 und 13 DSGVO, Artikel 15 bis 21 DSGVO, Artikel 33 und 34 DSGVO). Facebook Ireland trifft im Einklang mit Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst die Maßnahmen, die im Anhang unten aufgeführt sind (dieser wird von Zeit zu Zeit aktualisiert, um beispielsweise technologischen Entwicklungen Rechnung zu tragen). Alle an der Verarbeitung der Insights-Daten beteiligten Mitarbeiter von Facebook Ireland sind durch geeignete Vereinbarungen zur Wahrung der Vertraulichkeit der Insights-Daten verpflichtet.
    - Seitenbetreiber: Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hast. Zusätzlich zu den Informationen, die betroffenen Personen von Facebook Ireland über die Informationen zu Seiten-Insights bereitgestellt werden, solltest du deine eigene Rechtsgrundlage angeben, ggf. einschließlich der von dir verfolgten berechtigten Interessen, den/die zuständigen Verantwortlichen auf deiner Seite, einschließlich seiner/ihrer Kontaktdaten, sowie der Kontaktdaten des/der Datenschutzbeauftragten (Artikel 13 Abs. 1 lit. a – d DSGVO), falls einschlägig.
  • Facebook Ireland stellt den betroffenen Personen das Wesentliche dieser Seiten-Insights-Ergänzung zur Verfügung (Artikel 26 Abs. 2 DSGVO). Dies erfolgt zurzeit über die Informationen zu Seiten-Insights-Daten, auf die von allen Seiten zugegriffen werden kann.
  • Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt. Du erkennst an und stimmst zu, dass nur Facebook Ireland befugt ist, Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten umzusetzen. Zudem erkennst du an und stimmst zu, dass die irische Datenschutzkommission die federführende Aufsichtsbehörde für die gemeinsame Verarbeitung ist (unbeschadet von Artikel
    55 Abs. 2 DSGVO, soweit einschlägig).
  • Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen. Dies gilt insbesondere auch im Hinblick auf die Seiten-Insights, die wir dir bereitstellen.
  • Die Parteien legen die in den Informationen zu Seiten-Insights-Daten bzw. einem diesen nachfolgenden Dokument angegebenen Kontaktmöglichkeiten als Anlaufstelle für betroffene Personen fest.
  • Wenn betroffene Personen ihre ihnen gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten zustehenden Rechte dir gegenüber geltend machen (Artikel 26 Abs. 3 DSGVO) oder eine Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von sieben Kalendertagen, sämtliche relevanten Informationen zu solchen Anfragen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland verpflichtet sich, Anfragen von betroffenen Personen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten zu beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.
  • Wenn du eine Seite nutzt, stimmst du zu, dass jedweder Anspruch, Klagegenstand oder Streitfall, den du uns gegenüber hast und der sich aus dieser Seiten-Insights-Ergänzung ergibt oder damit in Verbindung steht, ausschließlich von den Gerichten in Irland zu klären ist, dass du dich für Prozesse hinsichtlich jedwedes derartigen Anspruchs unwiderruflich der Rechtsprechung der irischen Gerichte unterwirfst und dass diese Seiten-Insights-Ergänzung irischem Recht unterliegt, ohne Berücksichtigung kollisionsrechtlicher Bestimmungen. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur Abschnitt 4.4 unserer Nutzungsbedingungen.
  • Wir können diese Seiten-Insights-Ergänzung von Zeit zu Zeit aktualisieren. Durch deine weitere Nutzung von Seiten nach irgendeiner Benachrichtigung über eine Aktualisierung dieser Seiten-Insights-Ergänzung stimmst du zu, an sie gebunden zu sein. Solltest du der aktualisierten Seiten-Insights-Ergänzung nicht zustimmen, beende bitte jegliche Nutzung von Seiten. Wenn du ein Verbraucher mit ständigem Wohnsitz in einem Mitgliedstaat der Europäischen Union bist, gilt nur Abschnitt 4.1 unserer Nutzungsbedingungen.
  • Sollte irgendein Teil dieser Seiten-Insights-Ergänzung für nicht durchsetzbar erachtet werden, so bleiben die übrigen Bestimmungen in vollem Umfang wirksam und in Kraft. Ein Versäumnis unsererseits, irgendeinen Teil dieser Seiten-Insights-Ergänzung durchzusetzen, stellt keinen Rechtsverzicht dar. Jegliche/r von dir beantragte Änderung dieser Nutzungsbedingungen bzw. Verzicht auf diese muss in schriftlicher Form erfolgen und von uns unterzeichnet werden.
  • Diese Seiten-Insights-Ergänzung gilt nur für die Verarbeitung von personenbezogenen Daten im Anwendungsbereich der Verordnung (EU) 2016/679 („DSGVO“). „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Aufsichtsbehörde“ und „betroffene Person“ haben in dieser Seiten-Insights-Ergänzung die ihnen in der DSGVO zugewiesenen Bedeutungen.

Anhang: Sicherheit

„Umfasste Produkte“ umfasst Facebook-Seiten und Seiten-Insights.

1. Organisation der Informationssicherheit
Facebook hat einen speziellen Sicherheitsbeauftragten, der die Gesamtverantwortung für die Sicherheit in der Organisation trägt. Facebook verfügt über Personal, das für die Überwachung der Sicherheit der umfassten Produkte verantwortlich ist.

2. Physische und Umgebungssicherheit
Die Sicherheitsmaßnahmen von Facebook umfassen Kontrollen, mit denen auf angemessene Weise sichergestellt werden soll, dass der physische Zugang zu den Datenverarbeitungseinrichtungen nur autorisierten Personen vorbehalten ist und dass
Umgebungskontrollen eingerichtet werden, um Zerstörungen aufgrund von umgebungsbedingten Gefahren zu erkennen, zu verhindern und zu kontrollieren. Die Kontrollen umfassen:

2.1 Protokollierung und Prüfung des physischen Zugangs zur Datenverarbeitungseinrichtung durch Mitarbeiter und Dienstleister;
2.2 Kameraüberwachungssysteme an der jeweiligen Datenverarbeitungseinrichtung;
2.3 Systeme, die die Temperatur und Luftfeuchtigkeit für die Computeranlagen in der Datenverarbeitungseinrichtung überwachen und steuern;
2.4 Stromversorgung und Notstromgeneratoren in der Datenverarbeitungseinrichtung;
2.5 Verfahren für die sichere Löschung und Vernichtung von Daten, entsprechend der Nutzungsbedingungen für die umfassten Produkte; und
2.6 Verfahren, die ID-Karten für das Betreten sämtlicher Räumlichkeiten von Facebook für alle Personen erforderlich machen, die an den umfassten Produkten arbeiten.

3. Personal
3.1 Schulung. Facebook stellt sicher, dass sämtliches Personal mit Zugriff auf Insights-Daten eine Sicherheitsschulung absolviert.
3.2 Screening und Hintergrundüberprüfungen. Facebook hält ein Verfahren vor zur 
3.3 Verifizierung der Identität der Personen, die Zugriff auf Insight-Daten haben, und soweit dies rechtlich zulässig ist, zur Durchführung von Hintergrundüberprüfungen gemäß Facebook-Standards für Personal, das an Aspekten der umfassten Produkte arbeitet oder sie unterstützt.
3.4 Verletzung der Sicherheit durch Mitarbeiter. Facebook ergreift im Falle eines unberechtigten Zugriffs auf Insights-Daten durch Facebook-Personal Disziplinarmaßnahmen, angefangen bei Sanktionen bis hin zur Kündigung, soweit dies rechtlich zulässig ist.
4. Sicherheitstests
Facebook führt regelmäßig Sicherheits- und Schwachstellentests durch, um zu bewerten, ob die wichtigsten Kontrollen ordnungsgemäß implementiert und wirksam sind.
4.1 Zugriffskontrollen
- Passwort-Management. Facebook hat für sein Personal Verfahren für das Passwort-Management entwickelt, um sicherzustellen, dass Passwörter an die jeweilige Person gebunden und für nicht autorisierte Personen unzugänglich sind. Diese Verfahren umfassen mindestens Folgendes:
- Bereitstellung von Passwörtern, einschließlich Verfahren zur Verifizierung der Identität des Nutzers, bevor ein neues, ein Ersatz- oder temporäres Passwort vergeben wird;
- kryptografischer Schutz von Passwörtern beim Speichern auf Computersystemen oder während der Übermittlung über das Netzwerk;
- Änderung aller Standardpasswörter von Drittanbietern;
- starke Passwörter im Verhältnis zu ihrer beabsichtigten Verwendung; und
- Schulungen zu bewährten Praktiken in Bezug auf Passwörter.
4.2 Zugriffsmanagement. Außerdem setzt Facebook folgende Maßnahmen ein, um den Zugriff auf seine Systeme seitens seines Personals zu kontrollieren und zu überwachen:
- Verfahren zum unverzüglichen Ändern und Widerrufen von Zugriffsrechten und Nutzer-IDs;
- Verfahren zum Melden und Widerrufen von kompromittierten Zugangsdaten (Passwörter, Zugriffs-Tokens usw.);
- Führen geeigneter Sicherheitsprotokolle, gegebenenfalls mit Nutzer-ID und Zeitstempel;
- Synchronisierung der Uhren mithilfe von NTP; und
- Protokollierung mindestens folgender Ereignisse im Nutzer-Zugriffsmanagement:
- Änderungen der Autorisierung;
- Fehlgeschlagene und erfolgreiche Authentifizierungs- und Zugriffsversuche; und
- Lese- und Schreibvorgänge.
5. Kommunikationssicherheit
5.1 Netzwerksicherheit
- Facebook setzt Technologien ein, die den Branchenstandards für die Trennung von Netzwerken entsprechen.
- Der Netzwerk-Fernzugriff auf Facebook-Systeme setzt die Nutzung verschlüsselter Kommunikation über sichere Protokolle und Nutzung einer mehrstufigen Authentifizierung voraus.
- Schutz der Daten bei der Übermittlung. Facebook setzt die Nutzung geeigneter Protokolle zum Schutz der Vertraulichkeit der Daten bei der Übermittlung über öffentliche Netzwerke durch.
5.2 Schwachstellenmanagement
Facebook hat ein Programm zum Schwachstellenmanagement, das auch die umfassten Produkte einschließt. Dies umfasst auch die Festlegung von Rollen und Verantwortlichkeiten für die Überwachung von Schwachstellen, die Risikobewertung von Schwachstellen und die Bereitstellung von Patches.
- Sicherheitsvorfallmanagement
- Facebook unterhält einen Reaktionsplan für Sicherheitsvorfälle, mit dem es mögliche Sicherheitsvorfälle, die Insights-Daten betreffen, überwacht, erkennt und bearbeitet. Der Reaktionsplan für Sicherheitsvorfälle umfasst mindestens die Festlegung von Rollen und Verantwortlichkeiten, die Kommunikation sowie Post-Mortem-Überprüfungen, einschließlich Ursachenanalysen und Behebungsplänen.
- Facebook überwacht seine Systeme bezüglich möglicher Sicherheitsverstöße und böswilligen Aktivitäten, die Insights-Daten betreffen.“