Datenschutzerklärung für CONEXUS (Non-Profit)

Stand: 20. April 2025

1. Verantwortliche Stelle

Verantwortlicher für die Datenerhebung und -verarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Zessons Web Productions, Jens Peters
datenschutz@zessons.de

Meldedaten: siehe Impressum

(Im Folgenden „ich“ genannt).

2. PROLOG - und... Was ist CONEXUS?

CONEXUS ist ein unentgeltlicher Cloud-Speicher-Dienst, der auf der Open-Source-Software Nextcloud basiert. CONEXUS nutzt die technischen Möglichkeiten von Nextcloud und stellt sie unentgeltlich zur Verfügung, solang die Infrastruktur über freie Ressourcen verfügt.

Eine Risikoanalyse habe ich nicht nur für mich selbst, sondern auch aus Nutzerperspektive für dich erstellt, damit du besser abschätzen kannst, ob du bereit bist, etwaige Risiken einzugehen.
Eintrittswahrscheinlichkeit und Schaden werden dabei kombiniert, sowohl in der Vergangenheit als auch als Projektion für die Zukunft, und daraus ein durchschnittlicher Wert auf einer Skala ermittelt - in diesem Fall auf einer Skala von 1-16.
Du kannst die Risikoanalyse aus Nutzerperspektive hier einsehen: https://cloud.zessons.de/index.php/s/AXcW2oAWyHPjzdj

Ich stelle dir 25 GB Speicherplatz zur Verfügung, um deine Dateien zu speichern, zu verwalten und zu teilen. Zusätzlich bietet CONEXUS verschiedene, integrierte Anwendungen („Apps“) an, wie z.B. die Kommunikations-App „Talk“, Office Tools, Kalender, einen Passwortmanager und mehr.

Ich versuche mit dieser Datenschutzerklärung möglichst transparent darzulegen, wie der Service funktioniert und welches Einverständnis ihr eingeht, wenn ihr euch für die Nutzung meines kostenlosen Services entscheidet.

3. Welche Daten erhebe und verarbeite ich und zu welchem Zweck?

Ich erhebe und verarbeite personenbezogene Daten nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes sowie meiner Inhalte und Leistungen erforderlich ist.

Registrierungsdaten:

E-Mail-Adresse: Bei der Registrierung benötigt der Service deine E-Mail-Adresse, um dir einen Bestätigungslink zuzusenden und die Echtheit deines Zugangs zu verifizieren. Die E-Mail-Adresse kann auch genutzt werden, um dich über wichtige Änderungen am Dienst oder sicherheitsrelevante Aspekte zu informieren.
Benutzername: Nach Klick auf den Bestätigungslink wählst du einen eindeutigen Benutzernamen, der für deinen Login und zur Identifikation innerhalb des Systems dient.
Passwort: Du erstellst ein Passwort für dein Konto. Dieses wird ausschließlich in verschlüsselter Form (gehasht) gespeichert und ist nicht im Klartext einsehbar.

Zweck: Verwaltung deines Benutzerkontos, Authentifizierung, Sicherstellung der Einzigartigkeit von Konten, Kommunikation bezüglich deines Kontos und des Dienstes.

Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt zur Erfüllung der Nutzung und vollkommenen Funktionsfähigkeit des kostenlosen Dienstes CONEXUS gemäß Art. 6 Abs. 1 lit. b DSGVO.

Inhaltsdaten (Deine Dateien und Daten in Apps):

Dateien: Alle Dateien, die du auf CONEXUS hochlädst und speicherst (bis zu 25 GB).
Kommunikationsdaten (Talk App): Nachrichten, die du über die Talk-App sendest und empfängst, sowie Metadaten zu Anrufen (Teilnehmer, Dauer, Zeitpunkt).
Wichtiger Hinweis zur Verschlüsselung: Aktuell bietet die Talk-App eine Ende-zu-Ende-Verschlüsselung (E2EE) nur für direkte Audio- und Videoanrufe. Text-Chats und Gruppen-Chats sind derzeit nicht Ende-zu-Ende-verschlüsselt, sondern werden über eine verschlüsselte Verbindung (TLS/SSL) zum Server übertragen, dort gespeichert und vom Server an den Empfänger geleitet.
Beachte, dass die Nachrichten technisch auf dem Server gespeichert und somit potenziell abrufbar sind. Ich versichere zwar, dass ich aufgrund meiner beruflichen Ethik und meines Engagements für den Datenschutz keine Einsicht nehmen werde - die Nutzung von Nextcloud Talk setzt demnach allerdings dein Vertrauen und auch deine Einwilligung in diese Zusicherung voraus. Du erklärst dich mit dieser Tatsache also eindeutig einverstanden.
Passwortmanager-Daten: Die Passwörter und zugehörigen Informationen, die du im integrierten Passwortmanager speicherst. Wichtiger Hinweis zur Verschlüsselung: Diese Daten werden serverseitig verschlüsselt gespeichert. Das bedeutet, dass die Ver- und Entschlüsselung auf meinen Servern stattfindet. Sie sind nicht clientseitig verschlüsselt, was bedeutet, dass diese auslesbar wären, sofern der entsprechende Schlüssel vorläge. Das Unterlassen von Ermittlung und zuordnung von Schlüsseln fällt unter die selbiges Vertrauen wie im vorigen Punkt.
Andere App-Daten: Daten, die durch die Nutzung weiterer von mir bereitgestellter Nextcloud-Apps entstehen (z.B. Kalendereinträge, Kontakte, Notizen).

Zweck: Speicherung, Verwaltung, Synchronisation und Bereitstellung deiner Daten gemäß der von dir gewählten Nutzung des Dienstes und der Apps.

Rechtsgrundlage: Die Verarbeitung deiner Inhaltsdaten erfolgt zur Erfüllung des Nutzungsvertrages gemäß Art. 6 Abs. 1 lit. b DSGVO. Du allein entscheidest, welche Daten du hochlädst und speicherst.

Nutzungsdaten / Metadaten:

Protokolldaten (Server-Logs): Bei jedem Zugriff auf CONEXUS werden automatisch Informationen durch das System erfasst und in Logfiles gespeichert. Dies können sein: IP-Adresse des zugreifenden Rechners, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Erkennungsdaten des verwendeten Browser- und Betriebssystems, Webseite, von der aus der Zugriff erfolgt (Referrer URL).
Datei-Metadaten: Informationen über deine Dateien wie Dateiname, Dateigröße, Erstellungs- und Änderungsdatum, Dateityp.
Aktivitätsprotokolle: Informationen über Aktionen in deinem Konto (z.B. Login-Zeiten, Dateiänderungen, Freigabeaktionen).

Zweck: Sicherstellung eines reibungslosen Betriebs des Dienstes, Gewährleistung der Systemsicherheit und -stabilität, Fehleranalyse, Missbrauchserkennung

Rechtsgrundlage: Die Verarbeitung dieser Daten erfolgt auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, den Dienst sicher, stabil und benutzerfreundlich anzubieten.

4. Einsatz von Cookies

CONEXUS verwendet Cookies. Cookies sind kleine Textdateien, die auf deinem Endgerät gespeichert werden. CONEXUS verwendet technisch notwendige Cookies, die für den Betrieb der Website und zur Gewährleistung grundlegender Funktionen (z.B. Login-Session) erforderlich sind.

Zweck: Aufrechterhaltung der Benutzersitzung nach dem Login, Speicherung von Benutzereinstellungen (z.B. Sprache).
Rechtsgrundlage: Der Einsatz technisch notwendiger Cookies erfolgt auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO an einer nutzerfreundlichen und funktionsfähigen Bereitstellung des Dienstes.

Über den Einsatz weiterer Cookies (z.B. für Analysezwecke), falls vorhanden, würden wir dich gesondert informieren und ggf. deine Einwilligung einholen.

5. Datensicherheit

Ich treffe umfangreiche, best mögliche technische und organisatorische Sicherheitsmaßnahmen (TOMs), um deine Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Dazu gehören unter anderem:

Verschlüsselung der Kommunikation zwischen deinem Endgerät und unserem Server mittels TLS/SSL (HTTPS).
Verschlüsselte Speicherung deines Passworts (Hashing).
Server zu Server (Interserver) Kommunikation, bspw. zwischen Webserver und Datenbankserver oder Webserver und Office Backend und andere, findet ausschließlich innerhalb des Netzwerkes, nicht über das Internet statt. (Keine externen Server)
Serverseitige Verschlüsselung der im Passwortmanager gespeicherten Daten.
Regelmäßige Sicherheitsupdates der Nextcloud-Software und der Server-Systeme.
Zugriffskontrollen und Berechtigungskonzepte auf dem Server.
Regelmäßige Backups in Kombination mit vollständigen Systemscans aller für den Betrieb von CONEXUS nötigen Systeme

Dennoch an dieser Stelle der Hinweis, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail oder über unverschlüsselte Chat-Nachrichten in Talk) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte liegt außerhalb meines Netzwerkes dann nicht mehr voll in meiner Hand Insbesondere weise ich nochmal auf die oben beschriebenen Einschränkungen bei der Verschlüsselung von Talk-Nachrichten und Passwortmanager-Daten hin.

Dein Profil auf CONEXUS enthält persönliche Daten, wie E-Mail oder Nutzername, aber auch optionale Daten wie Pronomen, Telefonnummer oder deinen Standort, wenn eingetragen. Nach Erstellen eines Kontos, stelle bitte unverzüglich unter https://cloud.zessons.de/index.php/settings/user ein, welche Informationen auf der Plattform öffentlich geteilt werden dürfen.

6. Keine Weitergabe von Daten an Dritte

Deine personenbezogenen Daten werden von mir grundsätzlich nicht an Dritte weitergegeben, verkauft oder anderweitig übermittelt, es sei denn,

du hast hierzu deine ausdrückliche Einwilligung erteilt (Art. 6 Abs. 1 lit. a DSGVO).
die Weitergabe ist zur Erfüllung der Nutzungseinwilligung mit dir erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
ich bin zur Weitergabe gesetzlich verpflichtet (z.B. aufgrund gerichtlicher Anordnung) (Art. 6 Abs. 1 lit. c DSGVO).
die Weitergabe ist zur Wahrung meiner berechtigten Interessen oder der berechtigten Interessen eines Dritten erforderlich, sofern nicht deine Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Der Dienst basiert auf der Software Nextcloud, wird aber auf von mir verwalteten Servern in einem Serververbund im eigenen Netzwerk betrieben.

7. Speicherdauer

Ich speichere deine personenbezogenen Daten nur so lange, wie es für die Erreichung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es die gesetzlichen Aufbewahrungsfristen vorsehen.

Kontodaten (E-Mail, Benutzername): Werden gespeichert, solange dein Benutzerkonto aktiv ist.
Inhaltsdaten (Dateien, App-Daten): Werden gespeichert, solange dein Benutzerkonto aktiv ist und du die Daten nicht selbst löschst.
Passwort: Dein gehashtes Passwort wird gespeichert, solange dein Konto aktiv ist.

Nach Löschung deines Benutzerkontos werden deine Registrierungs- und Inhaltsdaten innerhalb einer angemessenen Frist von 30 Tagen dauerhaft gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Server-Protokolldaten (Logfiles) werden aus Sicherheitsgründen und auch aus Gründen des Überlaufes - maximale Log-Länge - (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für eine Dauer von maximal 7 Tagen gespeichert und sind danach nicht mehr einsehbar.

8. Deine Rechte als Betroffener

Du hast jederzeit das Recht auf:

Auskunft über deine bei uns gespeicherten personenbezogenen Daten (Art. 15 DSGVO).
Berichtigung unrichtiger Daten (Art. 16 DSGVO).
Löschung deiner Daten („Recht auf Vergessenwerden“) (Art. 17 DSGVO), soweit keine Speicherpflichten entgegenstehen.
Einschränkung der Verarbeitung deiner Daten (Art. 18 DSGVO), bedingt die Unterlassung der Nutzung des Dienstes.
Datenübertragbarkeit deiner Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO) - (betrifft nur automatisch erfasste Daten).
Widerspruch gegen die Verarbeitung deiner Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) erfolgt (Art. 21 DSGVO), bedingt die Unterlassung der Nutzung des Dienstes

Zur Ausübung dieser Rechte wende dich bitte an die unter Ziffer 1 genannte verantwortliche Stelle.

Du hast zudem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren (Art. 77 DSGVO).

9. Änderung dieser Datenschutzerklärung

Ich behalte mir vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen Anforderungen entspricht oder um Änderungen meiner Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services oder Apps. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung. Über wesentliche Änderungen werde ich rechtzeitig informieren (z.B. per E-Mail oder durch einen Hinweis im Dienst).