---
title: Datenschutzerklärung
description: 
published: true
date: 2021-05-15T08:59:35.148Z
tags: 
editor: markdown
dateCreated: 2021-03-24T20:04:44.288Z
---

# Datenschutz

Hier findest du eine kleine Übersicht über Datenschutz bei uns und unser Verständnis davon. Die genaue Auflistung der Verwendung deiner Nutzungsdaten findest du in unserer [Datenschutzerklärung](https://www.bstly.de/privacy-policy?lang=de).

# Privacy By Design <a name="privacy" id="privacy"></a>

Privacy by Design bedeutet, dass die Systeme grundlegend auf Datensparsamkeit ausgelegt sind. Wir versuchen generell immer so wenig Daten wie möglich zu erheben. Frei nach dem Motto 'was man nicht hat, kann man auch nicht verlieren'. Das gilt zuerst einmal generell für Daten, die wir erheben, aber auch für die Verknüpfung verschiedener Daten zueinander.

Um Account- und Zahlungsdaten zu trennen, benutzen wir das Ticket-System *Pretix* mit seinem Check-In System. Für jedes Item wird ein geheimes Token generiert. In unserer selbst entwickelten Serverkomponente *we.bstly* kann dieses Token dann eingelöst werden und die entsprechende Leistung gespeichert werden. Das Token wird dann in *Pretix* als eingelöst markiert.

Die Verknüpfung von Account/Leistung und Token ist also nur temporär für die bestehende Browser Session gültig und wird sonst nicht dauerhaft gespeichert. Sprich: es gibt zwei Datenbanken, eine für Zahlungsdaten und Tokens (*Pretix*) und eine mit Account- und Berechtigungsdaten (*we.bstly*). Die Verknüpfung findet nur in einer aktiven Browser-Session statt und wird nach Einlösen des Token auch dort vergessen. Es gibt also keinerlei Verknüpfung von Zahlungsdaten und Account.

Abstriche machen wir aktuell bei der Verknüpfung von Accounts bei den einzelnen Diensten. Wie immer haben Komfort und Einfachheit ihren Preis. Durch sogenanntes [Single-Sign-On](https://de.wikipedia.org/wiki/Single_Sign-on) (*SSO*) über [OpenID Connect](https://de.wikipedia.org/wiki/OpenID_Connect) (*OIDC*) heißt das: Ein Account für Alles. Sprich, die Nutzung der einzelnen Dienste ist immer auf deinen *we.bstly*-Account zurückzuführen. Zum Einen bietet das den Komfort von *SSO*, dass du nur auf diesen einen Account gut aufpassen musst. Zum Anderen bekommt man dafür natürlich auch die Einfachheit, dass alle die Gewissheit haben, dass es sich bei den verschiedenen Diensten immer um den gleichen *we.bstly*-Account handelt. So weißt du z.B., dass du auch genau dem Menschen eine E-Mail schreibst, mit dem du gerade gechattet hast.

# Einzelne Dienste <a name="services" id="services"></a>

Hier fassen wir die Datenerfassung der einzelnen Dienste zusammen. Für die genauen Details verweisen wir erneut auf unsere [Datenschutzerklärung](https://www.bstly.de/privacy-policy?lang=de). Mehr Informationen oder Anleitungen zu Funktionen der einzelnen Diensten findest du in unserem [Überblick über vohandene Dienste](/de/services).

## Pretix <a name="pretix" id="pretix"></a>

Im *Pretix* System müssen wir natürlich persönliche Daten zum Zahlungsverkehr sowie eine E-Mail-Adresse zum  Versenden von E-Mails mit Bestätigungen, Zahlungsdaten sowie zum Verschicken der Token speichern. Als Vereinsmitglied werden hier deine zu erhebenden Mitgliedsdaten sowie dein Mitgliedsbeitragskonto gespeichert. Wie eingangs erwähnt findet keinerlei Verknüpfung dieser Daten mit anderen Diensten statt.

## we.bstly <a name="webstly" id="webstly"></a>

In *we.bstly* brauchst du lediglich einen Usernamen und ein Passwort (gut *gesalzen*, [Argon2](https://de.wikipedia.org/wiki/Argon2) gehashed!). Zusätzlich wird noch ein [PGP](https://de.wikipedia.org/wiki/Pretty_Good_Privacy)-Schlüsselpaar erstellt, mehr nicht. Optional ist noch die Angabe einer E-Mail Adresse. Diese ist erforderlich beim Verlust der Login-Daten bzw. deines *Privaten Schlüssels*. Wir halten diese Option allerdings offen, so dass eine völlig anonyme Nutzung aller Dienste möglich ist, wenn du dein Passwort bzw. deinen *Privaten Schlüssel* nicht verlierst!

Zusätzlich zu deinen zentralen Account-Daten werden hier auch deine Berechtigungen und das Ablaufdatum deiner Dienste gespeichert. Aktuell wird auch die Information gespeichert, dass du ein reguläres Vereinsmitglied bist. Dies hat den Vorteil, dass wir über unsere Dienste auch alle Vereinsmitglieder direkt erreichen können oder erweiterte Dienste anbieten können. Die Daten werden selbstverständlich nicht mit deinen Mitgliedsdaten oder dem Mitgliedsbeitragskonto verknüpft, sprich: wir wissen lediglich, **dass** du Vereinsmitglied bist, **nicht welches**!

Optional kannst du deinem Account noch weitere Profildaten mit einstellbarer Sichtbarkeit (*Privat*, *Geschützt* und *Öffentlich*) anlegen. Private Profilfelder sind nur für dich sichtbar, Geschützte auch für andere Benutzer und Öffentliche sind auch für Dritte einsehbar.

## E-Mail <a name="mail" id="mail"></a>

Aktuell werden die E-Mails so wie sie ankommen auf dem Server gespeichert. Da dies einige Nachteile und unnötiges Vertrauen benötigt, wird an einer Lösung gearbeitet alle E-Mails automatisch mit deinem *Öffentlichen Schlüssel* zu verschlüsseln. Das gibt dir die Sicherheit, dass auch nur du die E-Mails entschlüsseln kannst. Allerdings bedeutet dies auch, dass du all deine E-Mail-Clients für die Entschlüsselung einrichten musst. Wir werden selbstverständlich detaillierte Anleitungen dazu veröffentlichen wenn es soweit ist und vermutlich auch ein *Opt-Out* anbieten, wenn du auf diese Funktion verzichten möchtest.

Zur Authentifizierung werden deine *we.bstly*-Account Daten verwendet. Beachte, dass eine aktivierte Zwei-Faktor-Authentifizierung in deinem *we.bstly*-Account keinen Einfluss auf deinen E-Mail Login hat.

## Vaultwarden <a name="vaultwarden" id="vaultwarden"></a>

Als Passwortmanager speicher Vaultwarden hoch sensible Daten. Diese sind jedoch alle mit deinem Masterpasswort verschlüsselt welches nur gehashed auf dem Server gespeichert wird. Entscheidend für die Sicherheit dieser Daten ist also auch die Stärke deines Masterpasswortes. Neben den eigentlich Passwörtern werden auch Daten wie zugehöriger Nutzername, URLs der Webseiten oder benutzerdefinierte Felder und Notizen abgespeichert. Eine Entschlüsselung dieser Daten ist allerdings nur mit dem Masterpasswort möglich.

## Nextcloud <a name="nextcloud" id="nextcloud"></a>

Wie sensibel die Daten in der *Nextcloud* sind hängt natürlich nur von deiner Nutzung ab. Vom Dienst selber fallen keine Daten außer deine Account-Daten (nur Username und freiwillige Profildaten) an. Da hier ausschließlich von Usern selbst erstellte Inhalte gespeichert werden, kommt es darauf an, was du hochlädst, veröffentlichst und schreibst. Die Daten werden automatisch verschlüsselt gespeichert, es handelt sich dabei allerdings nur um eine serverseitige Verschlüsselung, sodass du die Daten weiterhin mit Anderen teilen kannst. *Nextcloud* bietet allerdings in den aktuellen Versionen auch eine eigene *Ende-Zu-Ende*-Verschlüsselung (*E2EE*) an. Es steht dir natürlich frei diese für sensible Daten zu nutzen, sodass auch niemand anderes an diese Dateien kommt. Beachte aber, dass diese Dateien dann nicht mehr im Browser zugänglich sind und nicht geteilt werden können. Außerdem gilt die *E2EE* nur für Dateien und nicht für andere Daten wie Kontakte, Kalender o.Ä., so dass die Empfehlung ist, immer darüber nachzudenken, welche Daten man gerade erzeugt und wie sensibel diese sind.

Da *Nextcloud* auch als Basis für einige Community-Funktionen dient, werden deine Account-Daten mit allen anderen Usern geteilt. Es steht dir aber auch frei, weitere Daten wie Dateien, Kalender etc. mit anderen Benutzern zu teilen.

## Matrix <a name="matrix" id="matrix"></a>

Da *Matrix* ein Messaging-Dienst ist können hier natürlich sensible Kommunikationsdaten anfallen. *Matrix* bietet zum Glück eine *Ende-zu-Ende*-Verschlüsselung an. Da diese allerdings optional ist, empfehlen wir dir darauf zu achten *E2EE* immer zu aktivieren. 

Neben deinen Chat-Nachrichten werden für den Dienst noch deine Raum-Mitgliedschaften gespeichert. Erstellst du selbst öffentliche Räume sind diese natürlich auch für andere sichtbar.

Beachte bitte auch, dass *Matrix* ein dezentrales Netzwerk ähnlich zur E-Mail Kommunikation ist. Das bedeutet, dass du die Möglichkeit hast mit Benutzern von anderen Anbietern zu kommunizieren, du aber dann auch Daten inklusive deiner Nachrichten an diese Server überträgst.

## Partey <a name="partey" id="partey"></a>

In unserem *virtuellen Vereinsheim* werden keinerlei Daten gespeichert. Dennoch ist durch die Übertragung von deinen Video- und Audio-Daten ein höchst sensibler Bereich betroffen. Wie erwähnt werden diese Daten nicht durch uns persistiert, es ist jedoch technisch nicht ausgeschlossen, dass andere Benutzer verbotenerweise Mitschnitte anfertigen. Falls du Kenntnis über irgendwelche Verstöße hast, bitten wir dich dringend mit uns Kontakt aufzunehmen. Als erste Anlaufstelle gibt es dafür unsere Seite mit [Hilfsangeboten](/de/help). 

## Jitsi-Meet <a name="jitsi" id="jitsi"></a>

In unseren *Jitsi-Meet* Räumen gilt eigentlich das Gleiche wie für unser *virtuelles Vereinsheim*. Es werden keine Daten von dir gespeichert, aber du solltest ein Bewusstsein dafür haben, dass du sensible Video- und Audio-Daten in Echtzeit an andere Benutzer überträgst.

## Wiki.js <a name="wiki" id="wiki"></a>

In unserem *Wiki* werden generell keine persönlichen Daten erfasst. Für deinen Account werden nur dein *we.bstly* Username und deine E-Mail Adresse übertragen. Generell sind alle Texte die du verfasst öffentlich und mit deinem Usernamen verknüpft. Zusätzlich gibt es eine Kommentarfunktion. Diese ist allerdings nur für andere Benutzer zugänglich und nicht öffentlich.

## Gitea <a name="gitea" id="gitea"></a>

Ähnlich wie bei *Nextcloud* werden vom Dienst selber nur dein Username und ein paar persönliche Einstellungen gespeichert. Wie sensibel die Daten in deinen *Git*-Repositories sind und wer auf diese zugreifen kann hängt ganz von dir ab. Achte also darauf, welche Dateien du hochlädst und ob dein Repository auch öffentlich zugänglich ist. Da Repositories oft Source Code enthalten inklusive Konfigurationsdateien möchten wir dich daran erinnern darauf zu achten keine sensible Informationen wie Passwörter, *API-Keys* oder *Private Schlüssel* aus versehen in dein Repository zu laden. Bei allen öffentlichen Repositories sind deine Änderungen, Issues, Kommentare und dein Account ebenfalls öffentlich!

## Webserver <a name="webserver" id="webserver"></a>

Alle Dienste laufen über einen Webserver, wie auch z.B. diese Seite. Generell fallen bei einem Webserver automatisch ein Haufen Daten an, wie z.B. deine IP-Adresse, deine Webbrowser-Version und einiges mehr. Dass diese Daten übertragen werden ist technisch bedingt und lässt sich nur mit Aufwand von deiner Seite aus verhindern. Wichtig ist also, was wir mit diesen Daten machen.

Die Antwort darauf ist einfach: Nichts! Im Allgemeinen werden diese Daten gar nicht gespeichert. Im Zuge von Wartungsarbeiten o.Ä. kann es dazu kommen, dass diese Daten in Log-Files geschrieben werden, damit wir Problemen auf den Grund gehen können. Diese werden dann allerdings mit keinen anderen Daten verknüpft und direkt nach Beendigung der Arbeiten gelöscht!