1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Digitmedia e.K.Inhaber: Tim Friedrich
Gertrudstr. 17
44388 Dortmund
Deutschland
Telefon: +49 (0)231 58 69 99 72 – 0
E-Mail: support@digitmedia.de
2. Geltungsbereich und datenschutzrechtliche Rollen
Diese Datenschutzerklärung gilt für die Website und den Monitoring-Dienst UptimeNinja. Für die Verwaltung von Accounts, die Bereitstellung des Dienstes, die Sicherheit und die Kommunikation ist Digitmedia e.K. Verantwortlicher.
Soweit Kunden mit UptimeNinja personenbezogene Daten in Monitor-Konfigurationen, Request-Inhalten, Zielsystemen oder Benachrichtigungen verarbeiten, entscheidet der Kunde über Zweck und Mittel dieser Verarbeitung. Digitmedia e.K. verarbeitet solche Daten dann grundsätzlich als Auftragsverarbeiter nach Art. 28 DSGVO und nach den dokumentierten Weisungen des Kunden. Vor einer entsprechenden Nutzung ist ein Vertrag zur Auftragsverarbeitung abzuschließen. Bitte wenden Sie sich dafür an support@digitmedia.de.
3. Hosting bei Hetzner und Server-Protokolle
UptimeNinja wird auf Infrastruktur der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland, betrieben. Hetzner verarbeitet die auf der Hosting-Infrastruktur anfallenden Daten als Auftragsverarbeiter auf Grundlage eines Vertrags nach Art. 28 DSGVO. Für den Produktivbetrieb verwenden wir einen Produktstandort innerhalb der Europäischen Union.
Bei Aufrufen der Website und der API können insbesondere IP-Adresse, Datum und Uhrzeit, angeforderte Adresse, HTTP-Methode, Statuscode, übertragene Datenmenge, Referrer, Browser-/Geräteinformationen und technische Fehlerdaten verarbeitet werden. Die Verarbeitung ist erforderlich, um Inhalte auszuliefern, Angriffe und Missbrauch abzuwehren, Fehler zu untersuchen und den sicheren Betrieb zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, zuverlässigen und wirtschaftlichen Betrieb des Dienstes.
Protokolldaten werden nur so lange aufbewahrt, wie sie für Betrieb, Fehleranalyse und Sicherheitszwecke erforderlich sind, und anschließend gelöscht oder anonymisiert. Eine längere Speicherung erfolgt nur bei einem konkreten Sicherheitsvorfall oder wenn eine gesetzliche Pflicht besteht.
Weitere Informationen: Datenschutz bei Hetzner.
4. Registrierung, Account und Anmeldung
Bei der Registrierung und Nutzung eines Accounts verarbeiten wir insbesondere:
- Benutzername und E-Mail-Adresse,
- Verifikationsstatus und Zeitpunkt der Registrierung,
- Passwort in ausschließlich gehashter Form,
- Tarif- und Nutzungslimits sowie die zugeordnete Speicherdauer,
- Sitzungsdaten wie Sitzungskennung, Zeitpunkte, gekürzte oder gehashte Sicherheitsmerkmale der IP-Adresse und User-Agent.
Die Verarbeitung erfolgt zur Begründung, Durchführung und Verwaltung des Nutzungsverhältnisses auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Soweit Daten zur Missbrauchsabwehr oder zum Nachweis sicherheitsrelevanter Vorgänge verarbeitet werden, beruht dies auf Art. 6 Abs. 1 lit. f DSGVO.
Passwörter werden mit Argon2id und einem zusätzlichen serverseitigen Geheimnis gehasht. Wir speichern keine lesbaren Passwörter. E-Mail-Bestätigungslinks sind regelmäßig 24 Stunden, Links zum Zurücksetzen des Passworts eine Stunde gültig. Verbrauchte oder abgelaufene Token werden automatisiert bereinigt.
5. Technisch erforderliches Sitzungs-Cookie
Nach Registrierung oder Anmeldung setzen wir das Cookie uptime_ninja_session. Es enthält eine zufällige, nicht sprechende Sitzungskennung. Das Cookie ist als HttpOnly und SameSite=Lax gesetzt und wird im Produktivbetrieb ausschließlich über HTTPS übertragen.
Die Sitzung endet nach zwölf Stunden Inaktivität und spätestens 30 Tage nach ihrer Erstellung. Beim Abmelden wird die Sitzung widerrufen. Das Cookie ist unbedingt erforderlich, um den ausdrücklich gewünschten, angemeldeten Dienst bereitzustellen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO; für die Speicherung im Endgerät gilt § 25 Abs. 2 Nr. 2 TDDDG. Ein Einwilligungsbanner ist hierfür nicht erforderlich.
UptimeNinja setzt keine Analyse-, Marketing- oder Profiling-Cookies ein und verwendet keine extern eingebundenen Webfonts oder Werbenetzwerke.
6. Monitoring-Konfiguration und Ausführung
Um den Dienst bereitzustellen, verarbeiten wir die vom Nutzer angelegten Monitore und Workflows. Dazu können Monitorname, Ziel-URL, HTTP-Methode, Zeitplan, Header, Request-Inhalte, Prüfregeln, JSON-Pfade, Variablennamen, TLS-Informationen und Benachrichtigungszuordnungen gehören.
Bei einer Prüfung baut UptimeNinja vom Hosting-System aus eine Verbindung zum konfigurierten Ziel auf. Dabei werden die für den Request festgelegten Daten an das Zielsystem übertragen. Das Zielsystem erhält technisch bedingt insbesondere die Server-IP-Adresse von UptimeNinja sowie die konfigurierten Request-Daten. Der Nutzer ist dafür verantwortlich, nur Ziele zu überwachen und Daten zu übermitteln, für die er eine ausreichende Berechtigung und Rechtsgrundlage besitzt.
Zugangsdaten, API-Schlüssel, Passwörter, geheime Header und Pushover-Schlüssel werden verschlüsselt gespeichert. Sie werden nur für die ausdrücklich festgelegten Ziele und Nutzungsarten entschlüsselt. Flüchtige Werte aus API-Workflows werden verschlüsselt zwischengespeichert; nach Abschluss oder Abbruch des Laufs wird der zugehörige Datenschlüssel vernichtet.
Rechtsgrundlage für die Verarbeitung von Daten des Accountinhabers ist Art. 6 Abs. 1 lit. b DSGVO. Für Daten, die der Nutzer in eigener Verantwortung in den Dienst einstellt, erfolgt die Verarbeitung nach seinen Weisungen im Rahmen der Auftragsverarbeitung.
7. Laufdaten, Verlauf, Incidents und Audit-Ereignisse
Bei automatischen und manuellen Prüfungen verarbeiten wir technische Laufdaten, insbesondere Zeitpunkte, Antwortstatus, Antwortdauer, TLS- und Netzwerkfehler, zusammengefasste Assertion-Ergebnisse, extrahierte Metadaten, Messwerte, Zustandswechsel, Incidents und Zustellversuche. Sensible Request- und Response-Inhalte werden nicht als vollständige Rohdaten in der Verlaufshistorie gespeichert.
Die reguläre Verlaufsspeicherung richtet sich nach der dem Account zugeordneten Stufe und beträgt 30, 60 oder 90 Tage. Laufdatensätze, die zur Dokumentation eines noch referenzierten Incidents erforderlich sind, können darüber hinaus bis zur Auflösung der Referenz oder Löschung des Accounts gespeichert werden.
Sicherheits- und Audit-Ereignisse dokumentieren beispielsweise das Anlegen, Ändern oder Löschen sicherheitsrelevanter Ressourcen. Sie enthalten keine Secret-Werte. Die Verarbeitung erfolgt zur Vertragserfüllung sowie auf Grundlage unseres berechtigten Interesses an Nachvollziehbarkeit, Sicherheit und Missbrauchsabwehr gemäß Art. 6 Abs. 1 lit. f DSGVO.
8. E-Mail-Benachrichtigungen
Für E-Mail-Verifikation, Passwort-Zurücksetzung und vom Nutzer eingerichtete Alarmierungen verarbeiten wir Empfängeradresse, Betreff, Nachrichteninhalt, Zustellstatus, Fehlercodes und gegebenenfalls eine Nachricht-ID. Der Versand erfolgt über die von Digitmedia e.K. betriebene SMTP-Infrastruktur unter mail.skahost.de. Die dafür eingesetzten Server befinden sich in Deutschland. Der empfangende E-Mail-Anbieter verarbeitet die Nachricht in eigener Verantwortung.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Sicherheitsbezogene Nachrichten können zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.
9. Webhooks
Aktiviert ein Nutzer einen Webhook, übermittelt UptimeNinja bei einem Ausfall oder einer Wiederherstellung Daten an die vom Nutzer festgelegte URL. Die Nachricht kann Ereignis-ID, Monitor-ID, Incident-ID, Ereignisart, Zeitpunkt, Monitorname, Ergebniskategorie und technische Signaturdaten enthalten. Zusätzlich werden die vom Nutzer konfigurierten Header übertragen.
Empfänger und möglicher Drittlandtransfer richten sich nach der vom Nutzer gewählten Webhook-Adresse. Der Nutzer ist für die datenschutzkonforme Auswahl und Konfiguration des Empfängers verantwortlich. Die Übermittlung erfolgt zur Ausführung der ausdrücklich eingerichteten Integration auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO beziehungsweise nach Weisung des Kunden.
10. Optionale Pushover-Integration
Wenn ein Nutzer Pushover aktiviert, werden Pushover User Key, API-Token, optional die Gerätebezeichnung sowie Monitorname und Statusmeldung an Pushover, LLC, Chicago, Illinois, USA, übertragen. Die Integration ist freiwillig und kann jederzeit durch Löschen oder Deaktivieren des Kanals beendet werden.
Pushover verarbeitet Daten in den USA und nennt für erforderliche internationale Übermittlungen unter anderem Standardvertragsklauseln als Schutzmechanismus. Nutzer sollten in Monitorbezeichnungen keine unnötigen personenbezogenen oder vertraulichen Inhalte verwenden. Wer keine Übermittlung in die USA wünscht, kann E-Mail oder einen selbst gewählten Webhook verwenden.
Weitere Informationen: Datenschutzerklärung von Pushover.
11. Datenexporte
Wird ein Datenexport angefordert, erstellen wir vorübergehend ein verschlüsseltes Export-Artefakt. Exportdateien sind nicht öffentlich abrufbar, können nur einmal beansprucht werden und laufen spätestens nach 24 Stunden ab. Secret-Werte und kurzlebige Runtime-Checkpoints werden nicht in den Export aufgenommen.
12. Kontaktaufnahme
Wenn Sie uns per E-Mail, Telefon oder auf anderem Weg kontaktieren, verarbeiten wir Ihre Kontaktdaten und den Inhalt der Anfrage, um diese zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen und im Übrigen Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sachgerechten Bearbeitung von Anfragen.
Wir löschen Korrespondenz, wenn sie nicht mehr benötigt wird und keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.
13. Empfänger und Weitergabe
Personenbezogene Daten können im erforderlichen Umfang übermittelt werden an:
- Hetzner Online GmbH als Hosting-Auftragsverarbeiter,
- den E-Mail-Anbieter des jeweiligen Empfängers,
- vom Nutzer konfigurierte Monitoring-Ziele und Webhook-Empfänger,
- Pushover, LLC, wenn die optionale Integration aktiviert wird,
- Behörden, Gerichte oder sonstige Stellen, soweit eine gesetzliche Verpflichtung besteht oder dies zur Rechtsverfolgung erforderlich ist.
Eine darüber hinausgehende Weitergabe findet nur statt, wenn eine Rechtsgrundlage besteht oder Sie eingewilligt haben.
14. Speicherdauer und Kontolöschung
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist. Account- und Konfigurationsdaten werden grundsätzlich für die Dauer des Nutzungsverhältnisses gespeichert. Nach einer Löschanforderung werden aktive Sitzungen widerrufen, laufende Aufgaben und Benachrichtigungen beendet, kurzlebige Workflow-Daten gelöscht und die für Laufdaten verwendeten Schlüssel vernichtet.
Soweit Daten gesetzlichen Aufbewahrungspflichten unterliegen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, erfolgt die Löschung erst nach Ablauf der jeweiligen Frist. Währenddessen wird die Verarbeitung auf diese Zwecke beschränkt.
15. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören insbesondere verschlüsselte Übertragung über HTTPS, gehashte Passwörter und Sitzungstoken, verschlüsselte Secrets, strikte Benutzertrennung, Zugriffsbeschränkungen, Schutz vor unzulässigen Zieladressen, Sicherheitsprotokollierung und automatisierte Löschroutinen.
Eine Datenübertragung im Internet kann dennoch Sicherheitslücken aufweisen. Ein vollständiger Schutz vor allen Risiken kann nicht garantiert werden.
16. Ihre Rechte
Sie haben im Rahmen der gesetzlichen Voraussetzungen insbesondere das Recht auf:
- Auskunft über Ihre personenbezogenen Daten nach Art. 15 DSGVO,
- Berichtigung unrichtiger Daten nach Art. 16 DSGVO,
- Löschung nach Art. 17 DSGVO,
- Einschränkung der Verarbeitung nach Art. 18 DSGVO,
- Datenübertragbarkeit nach Art. 20 DSGVO,
- Widerspruch gegen Verarbeitungen nach Art. 21 DSGVO,
- Widerruf einer Einwilligung mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO.
Zur Ausübung Ihrer Rechte genügt eine Nachricht an support@digitmedia.de. Wir können einen Identitätsnachweis verlangen, wenn dies zum Schutz Ihrer Daten erforderlich ist.
17. Widerspruch nach Art. 21 DSGVO
Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch einlegen. Wir verarbeiten die betroffenen Daten dann nicht mehr, sofern wir keine zwingenden schutzwürdigen Gründe nachweisen können oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
18. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für Digitmedia e.K. ist insbesondere zuständig:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-WestfalenKavalleriestraße 2–4
40213 Düsseldorf
E-Mail: poststelle@ldi.nrw.de
Web: www.ldi.nrw.de
19. Pflicht zur Bereitstellung und automatisierte Entscheidungen
Ohne die für Registrierung, Anmeldung und Leistungserbringung erforderlichen Daten kann UptimeNinja nicht bereitgestellt werden. Optionale Integrationen müssen nicht genutzt werden. Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.
20. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich der Dienst, eingesetzte Anbieter oder rechtliche Anforderungen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.