Datenschutzerklärung

1. Verantwortlicher

Über diese Website übermittelte personenbezogene Daten werden von CERTCRYPT verarbeitet.

Für datenschutzbezogene Anfragen oder Betroffenenbegehren können Sie sich an folgende Adresse wenden:

[email protected]

CERTCRYPT befindet sich derzeit in einem formalen organisatorischen Strukturierungsprozess. Diese Datenschutzerklärung kann aktualisiert werden, um Änderungen des rechtlichen Status oder der Governance abzubilden.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für certcrypt.com sowie für zugehörige öffentliche Website-Seiten und Subdomains, die direkt von CERTCRYPT betrieben werden, einschließlich blog.certcrypt.com, docs.certcrypt.com und anderer öffentlicher *.certcrypt.com-Angebote.

Sie gilt für personenbezogene Daten, die über das Kontaktformular, den Use-Case-Einreichungsablauf und den technischen Website-Betrieb verarbeitet werden.

Sie gilt nicht für Websites oder Dienste Dritter, auf die von dieser Website aus verwiesen oder verlinkt wird.

3. Wie diese Datenschutzerklärung zu lesen ist

Diese Datenschutzerklärung soll erläutern, wie CERTCRYPT personenbezogene Daten im Zusammenhang mit der öffentlichen Website verarbeitet.

Sie ist ein öffentliches Offenlegungsdokument, das die begrenzte websitebezogene Verarbeitung beschreibt. Sie ist weder ein internes Compliance-Handbuch noch ein internes operatives Richtliniendokument.

Soweit sich diese Datenschutzerklärung auf Website-Verarbeitung bezieht, meint sie die öffentliche Website-Umgebung sowie die nachstehend beschriebenen Kommunikations- und Intake-Kanäle.

4. Quellen personenbezogener Daten

CERTCRYPT erhält personenbezogene Daten in der Regel direkt von Ihnen, wenn Sie sich entscheiden, sie über die Website zu übermitteln, oder wenn technische Daten durch den Betrieb der Website erzeugt werden.

Je nach Interaktion können personenbezogene Daten stammen aus:

• Informationen, die Sie in das Kontaktformular eingeben
• Informationen, die Sie in den Use-Case-Einreichungsablauf eingeben
• Technischen Anfrage- und Browser-Metadaten, die beim Zugriff auf die Website entstehen
• Sicherheits- und Missbrauchspräventionssystemen zum Schutz von Website-Formularen und Infrastruktur
• Optionalen Analysemechanismen, die nur bei erteilter Einwilligung betrieben werden

5. Zero-Data-Infrastruktur und Abgrenzung der Website

CERTCRYPTs Prinzipien der Zero-Data-Infrastruktur und des Proof-without-Custody gelten für das Zertifizierungsinfrastrukturmodell. Sie beseitigen jedoch nicht die Notwendigkeit einer begrenzten Datenverarbeitung für den Betrieb einer öffentlichen Website.

Wenn Sie über diese Website mit CERTCRYPT kommunizieren oder einen Use Case zur internen Prüfung einreichen, müssen bestimmte personenbezogene und technische Daten verarbeitet werden, damit die Website sicher funktionieren und eingereichte Anfragen verantwortungsvoll bearbeitet werden können.

Wir unterscheiden daher zwischen dem Zertifizierungsinfrastrukturmodell und der begrenzten operativen Datenverarbeitung, die für den Betrieb von certcrypt.com erforderlich ist.

6. Daten aus dem Kontaktformular

Wenn Sie das Kontaktformular absenden, können wir die von Ihnen bereitgestellten Informationen zusammen mit begrenzten technischen Metadaten verarbeiten, die für Zustellung, Missbrauchsprävention und Bearbeitung der Antwort erforderlich sind.

CERTCRYPT fordert über den Kontaktkanal keine sensiblen personenbezogenen Daten an und bittet Sie, keine unnötigen personenbezogenen oder vertraulichen Informationen in Freitextfeldern zu übermitteln.

• Vollständiger Name
• E-Mail-Adresse
• Betreff
• Inhalt der Nachricht
• Metadaten zur Nachrichtenzustellung und zur Bearbeitung der Antwort
• Sicherheits-Verifizierungs-Token zur Validierung menschlicher Einsendungen
• Grundlegende Anfrage-Metadaten wie Zeitstempel, IP-Adresse und User-Agent-Informationen, wie sie in Server-Logs erfasst werden

7. Daten aus Use-Case-Einreichungen

Wenn Sie den Use-Case-Einreichungsablauf nutzen, kann CERTCRYPT sowohl die Informationen verarbeiten, die Sie aktiv bereitstellen, als auch begrenzte Prüfmetadaten, die im Rahmen des Intake-Prozesses erzeugt werden.

Der Use-Case-Ablauf unterstützt Entwurfsfortschritt und Prüfung vor der endgültigen Einreichung. Daher können bestimmte Daten gespeichert werden, bevor Sie den letzten Einreichungsschritt abschließen.

• Vollständiger Name
• E-Mail-Adresse
• Organisation
• Land oder Region
• Use-Case-Typ und zugehörige beschreibende Felder
• Use-Case-Beschreibung und zusätzliche Hinweise
• Unternehmenssektor und zugehöriger operativer Kontext
• Erwartetes Volumen, Dringlichkeit und Integrationsmodus
• Entwurfskennungen und Einreichungsstatus
• Interne Prüfmetadaten wie Vervollständigungsstatus, Priorisierungssignale und Bewertungsfelder
• Gehashte IP-Daten und User-Agent-Daten, die mit Entwurfserstellung, Aktualisierung und Einreichungssicherheit verbunden sind

Eingereichte Use Cases werden intern geprüft. Eine Einreichung bedeutet weder Auswahl noch Annahme, Onboarding oder Folgekommunikation.

8. Technische Website-Daten und Missbrauchsprävention

Wenn Sie die Website durchsuchen oder mit geschützten Formularen interagieren, können begrenzte technische Informationen automatisch zu Zwecken der Betriebssicherheit, Verkehrsintegrität, Missbrauchsprävention und technischen Leistung verarbeitet werden.

Öffentliche CERTCRYPT-Websites können zudem über die Cloudflare-Infrastruktur bereitgestellt oder geschützt werden, die begrenzte technische Anfragedaten im Rahmen von Request-Proxying, Verkehrsfilterung, Caching, TLS-Terminierung und damit verbundenen Sicherheitsfunktionen verarbeiten kann.

Ein Teil dieser Verarbeitung dient speziell der Erkennung von Bots, Spam, Betrug, feindlicher Automatisierung, fehlerhaften Einsendungen oder wiederholtem missbräuchlichem Datenverkehr. Geschützte Formulare können Cloudflare Turnstile zur Sicherheitsprüfung und Missbrauchsprävention verwenden.

Wenn Sie optionale Analyse-Cookies aktivieren, können außerdem aggregierte Nutzungsstatistiken verarbeitet werden, um die technische Leistung zu verbessern. Diese Statistiken werden in aggregierter Form verwendet und nicht für Profiling oder verhaltensbezogene Werbung eingesetzt.

• Server-Log-Daten
• IP-Adresse und zugehörige Netzwerk-Anfragemetadaten
• User-Agent- und Geräte-/Browser-Anfrageinformationen
• Sicherheits-Challenge- oder Bot-Verifikationssignale zur Missbrauchsprävention
• Signale für Rate-Limiting, Missbrauchsprävention und Sicherheitsüberwachung
• Erforderliche essenzielle Cookie-Daten für sicheren Betrieb
• Optionale Analysedaten, sofern eine Einwilligung erteilt wurde

9. Zweck der Verarbeitung

Personenbezogene Daten werden nur für legitime und begrenzte Website-Zwecke verarbeitet, etwa Kommunikationsbearbeitung, interne Use-Case-Prüfung, Missbrauchsprävention und sicheren technischen Betrieb.

Diese Zwecke können umfassen:

• Prüfung institutioneller, technischer oder strategischer Anfragen
• Beantwortung eingereichter Kontaktanfragen, soweit angemessen
• Entgegennahme, Speicherung, Prüfung und interne Priorisierung eingereichter Use Cases
• Feststellung, ob für einen eingereichten Use Case eine Klärung oder Folgekommunikation erforderlich ist
• Verhinderung von Missbrauch, Spam oder böswilligen Aktivitäten
• Aufrechterhaltung der operativen und technischen Sicherheit
• Verbesserung der technischen Leistung bei aktivierten optionalen Analysen

10. Was CERTCRYPT nicht tut

CERTCRYPT verfolgt bei der Verarbeitung von Website-Daten einen restriktiven Ansatz.

CERTCRYPT verwendet über die Website erhaltene personenbezogene Daten nicht für:

• Verhaltensbezogenes Profiling
• Gezielte Werbung
• Verkauf oder Weiterverkauf von Daten
• Marketing-Automatisierung ohne Bezug zu einer eingereichten Anfrage
• Öffentliche Offenlegung von Kontakt- oder Use-Case-Inhalten
• Erhebung von Nutzerdokumenten über öffentliche Website-Formulare als Teil des normalen Website-Betriebs

11. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage nutzerinitiierter Kommunikation, berechtigter Interessen an einem sicheren Website-Betrieb und an Missbrauchsprävention sowie, soweit anwendbar, auf Grundlage einer Einwilligung, wenn diese die geeignete Rechtsgrundlage darstellt.

Die Übermittlung des Kontaktformulars oder des Use-Case-Formulars bedeutet, dass Sie CERTCRYPT um Prüfung der eingereichten Informationen für den angegebenen Website-Zweck ersuchen.

Optionale Analyse-Cookies werden nur aktiviert, wenn Sie über das Cookie-Banner Ihre Einwilligung erteilen.

• Beantwortung nutzerinitiierter Anfragen
• Prüfung nutzerinitiierter Use-Case-Einreichungen
• Aufrechterhaltung eines sicheren Website-Betriebs
• Sicherstellung technischer Integrität und von Missbrauchspräventionskontrollen

12. Datenminimierung

CERTCRYPT verfolgt einen strikten Minimierungsansatz.

Es werden nur Daten verarbeitet, die für sichere Kommunikation, die Bearbeitung nutzerinitiierter Einreichungen, Maßnahmen zur Missbrauchsprävention und den essenziellen Website-Betrieb erforderlich sind.

CERTCRYPT verarbeitet nicht mehr Daten, als für den von Ihnen in Anspruch genommenen Website-Zweck vernünftigerweise erforderlich sind.

13. Aufbewahrung

Personenbezogene Daten werden nur für Zeiträume aufbewahrt, die für die in dieser Datenschutzerklärung beschriebenen Zwecke unter Berücksichtigung operativer, rechtlicher, Compliance- und Sicherheitsanforderungen vernünftigerweise erforderlich sind.

Die Aufbewahrungsdauer kann je nach Datenkategorie und Verarbeitungskontext variieren.

• Kontaktanfragen können für Kommunikationsbearbeitung, operative Kontinuität, Folgekommunikation bei Bedarf und Sicherheitsprüfung aufbewahrt werden
• Use-Case-Entwürfe können so lange gespeichert werden, wie es für Entwurfsfortschritt, interne Zustandsverwaltung, Missbrauchsprävention und damit verbundene operative Kontrollen erforderlich ist
• Eingereichte Use Cases können für interne Prüfung, Priorisierung und begrenzte operative Nachverfolgung gespeichert werden
• Server-Logs und sicherheitsbezogene Metadaten können für begrenzte technische Zeiträume entsprechend operativen Sicherheitspraktiken gespeichert werden
• Optionale Analysedaten können, sofern aktiviert, gemäß der begrenzten technischen und Reporting-Konfiguration des verwendeten Analysedienstes gespeichert werden

Daten sollen nicht länger aufbewahrt werden, als es für die in dieser Datenschutzerklärung beschriebenen Website-Zwecke vernünftigerweise erforderlich ist.

14. Drittverarbeiter

Bestimmte technische Funktionen können vertrauenswürdige Drittverarbeiter einbeziehen, die Dienstleistungen im Zusammenhang mit Folgendem erbringen:

Diese Verarbeiter handeln ausschließlich zu Zwecken der operativen Bereitstellung, Sicherheit oder technischen Leistung und verwenden Daten nicht für unabhängige kommerzielle Zwecke.

Sofern solche Anbieter in mehreren Rechtsordnungen tätig sind, werden angemessene Garantien entsprechend den anwendbaren Datenschutzstandards umgesetzt.

• E-Mail-Zustellungsanbieter
• Cloudflare-Infrastruktur für öffentliche Website-Bereitstellung, Proxying, Caching, TLS-Terminierung und damit verbundene Sicherheitsfunktionen
• Hosting-Infrastrukturanbieter
• Datenbank- oder Speicherinfrastrukturanbieter
• Cloudflare Turnstile und vergleichbare Sicherheits-Challenge- oder Bot-Verifikationsdienste zur Missbrauchsprävention
• Optionale Analyseanbieter (falls aktiviert)

15. Internationale Verarbeitung

Werden Daten außerhalb der Rechtsordnung verarbeitet, aus der sie übermittelt wurden, erfolgt dies unter angemessenen Garantien entsprechend den anwendbaren Datenschutzanforderungen.

Je nach Infrastruktur, Architektur der Dienstleister und operativen Erfordernissen können Daten in mehr als einer Rechtsordnung verarbeitet werden.

16. Sicherheit

CERTCRYPT setzt angemessene technische und organisatorische Maßnahmen um, um verarbeitete Daten vor unbefugtem Zugriff, Missbrauch, Verlust oder Offenlegung zu schützen.

Dies umfasst Maßnahmen zur Reduzierung von Missbrauch, böswilliger Automatisierung und unbefugtem Zugriff auf Website-Einreichungskanäle.

Kein Online-System kann absolute Sicherheit garantieren. Sicherheitskontrollen werden regelmäßig überprüft und verbessert.

17. Kinder

Diese Website ist für professionelle, organisatorische sowie allgemeine geschäftliche oder technische Nutzung bestimmt und richtet sich nicht an Kinder.

CERTCRYPT fordert nicht absichtlich personenbezogene Daten von Kindern über öffentliche Website-Formulare an und sammelt solche Daten auch nicht wissentlich.

18. Automatisierte Entscheidungsfindung und Profiling

CERTCRYPT verwendet über die öffentliche Website übermittelte personenbezogene Daten nicht, um automatisierte Entscheidungen mit rechtlich erheblicher Wirkung über Sie zu treffen.

CERTCRYPT verwendet über die Website übermittelte personenbezogene Daten nicht für verhaltensbezogenes Profiling oder gezielte Werbung.

19. Ihre Rechte und Beschwerden

Sie können beantragen:

Zur Ausübung entsprechender Anträge kontaktieren Sie bitte:

[email protected]

Anträge werden gemäß den anwendbaren Datenschutzanforderungen geprüft und bearbeitet.

Soweit das anwendbare Recht ein solches Recht vorsieht, können Sie außerdem eine Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde einreichen.

• Auskunft über personenbezogene Daten, die über die Kontakt- oder Use-Case-Kanäle übermittelt wurden
• Berichtigung unrichtiger Daten
• Löschung personenbezogener Daten
• Einschränkung der Verarbeitung, soweit anwendbar
• Widerspruch gegen die Verarbeitung, soweit anwendbar

20. Cookies und Tracking

CERTCRYPT verfolgt bei Cookies einen minimalen und sicherheitsorientierten Ansatz.

Die Website verwendet essenzielle Cookies, die für einen sicheren Betrieb erforderlich sind. Optionale Analyse-Cookies können nur mit Ihrer Einwilligung aktiviert werden.

CERTCRYPT verwendet keine Werbe- oder verhaltensbezogenen Tracking-Technologien.

Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

21. Änderungen

Diese Datenschutzerklärung kann aktualisiert werden, wenn sich Website-Betrieb, Infrastrukturdesign, rechtliche Erwartungen oder Compliance-Anforderungen weiterentwickeln.

Das maßgebliche Revisionsdatum wird oben auf dieser Seite angezeigt.