Datenschutzerklärung

Verantwortlicher

IT Oger - Domenic Schlinge
Zur Hüggelschlucht 11
49170 Hagen a.T.W.
E-Mail: impressum@foto-oger.de

Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten, um die Website bereitzustellen, Registrierungen zu prüfen, Benutzerkonten zu verwalten, CVE-Bewertungen nachvollziehbar zu dokumentieren, Microsoft-365-Integrationen bereitzustellen und sicherheitsrelevante Vorgänge zu protokollieren.

Verarbeitete Daten im EPSS Tool

• Stammdaten von Mandanten und Benutzern, insbesondere Name, E-Mail-Adresse und Rollen.
• Login- und Sicherheitsdaten, insbesondere Passwort-Hash, 2FA-Status, Session-Token-Hash und Zeitpunkt letzter Anmeldung.
• Registrierungsdaten, E-Mail-Bestätigung und Freischaltstatus.
• CVE-Bewertungen mit Bemerkungen, Priorisierung, Bearbeiter, Historie und Versandstatus.
• Konfigurationsdaten für Microsoft Graph, SharePoint, Mailvorlagen und optional SMTP-Zugangsdaten.

Server-Logdaten und Hosting

Beim Aufruf der Website und der App werden technisch notwendige Serverdaten verarbeitet, zum Beispiel IP-Adresse, Zeitpunkt, angeforderte URL, HTTP-Status, Referrer und Browserinformationen. Die Verarbeitung erfolgt zur sicheren Bereitstellung, Fehleranalyse und Missbrauchsabwehr.

Die Anwendung ist für den Betrieb auf einem Strato-Webspace mit MySQL-Datenbank vorgesehen. Soweit Strato als Hostinganbieter eingesetzt wird, verarbeitet Strato Daten als technischer Dienstleister.

Cookies und lokale Speicherung

Die App nutzt technisch notwendige Cookies beziehungsweise lokale Browserspeicherung für Anmeldung und Sitzungsverwaltung. Ohne diese Speicherungen ist ein geschützter Loginbereich nicht sinnvoll nutzbar. Tracking- oder Marketing-Cookies werden nicht eingesetzt.

Microsoft 365 und Microsoft Graph

Wenn ein Mandant Microsoft Login, SharePoint Export oder Graph-Mailversand nutzt, werden die hierfür erforderlichen Daten an Microsoft übermittelt. Dazu können Benutzerkennungen, E-Mail-Adressen, CVE-Bewertungen, Bemerkungen, Prioritäten und Versandinhalte gehören. Mandanten können eigene Microsoft-App-Zugangsdaten hinterlegen oder den zentralen IT-Oger-Anbieter nutzen.

FIRST.org EPSS

Zur Bewertung von CVEs fragt die App EPSS-Daten bei FIRST.org ab. Dabei werden die eingegebenen CVE-IDs übertragen. Personenbezogene Inhalte sollten nicht als CVE-ID oder in nicht dafür vorgesehenen Feldern eingegeben werden.

Rechtsgrundlagen

Die Verarbeitung erfolgt je nach Vorgang auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen, Art. 6 Abs. 1 lit. f DSGVO aufgrund berechtigter Interessen an sicherem Betrieb, Nachvollziehbarkeit und Missbrauchsabwehr sowie Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen.

Speicherdauer

Daten werden gespeichert, solange sie für Betrieb, Nachvollziehbarkeit, Support, Sicherheitszwecke oder gesetzliche Pflichten erforderlich sind. CVE-Bewertungen und Historieneinträge bleiben grundsätzlich erhalten, bis ein berechtigter Administrator sie löscht oder gesetzliche beziehungsweise vertragliche Pflichten entgegenstehen.

Empfänger

Empfänger personenbezogener Daten können technische Dienstleister, Hostinganbieter, Microsoft bei Nutzung von Microsoft-365-Funktionen, angebundene SharePoint-Listen, konfigurierte Mail- oder Ticketsysteme sowie interne Administratoren des jeweiligen Mandanten sein.

Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

Datenschutzkontakt

Für Datenschutzanfragen kann die oben genannte Kontaktadresse genutzt werden. Ein Datenschutzbeauftragter wurde nicht benannt.