Leben mit Paranoia / SCHIZO-SEC

Datenschutzhinweise zur Live-Tracking-Demo
DSGVO-aware · Security Lab
Zurück zur Live-Tracking-Demo

Datenschutzhinweise

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Leben mit Paranoia / SCHIZO-SEC
Inhaber: Chris Pascal Landwehr
Kasernenstraße 8
32423 Minden (Westf.)
Deutschland

E-Mail: schizo@schizo-sec.com

2. Zweck dieser Website

Diese Website wird als Security- und Awareness-Demo betrieben. Sie zeigt technisch interessierten Nutzerinnen und Nutzern, welche Standort- und Systeminformationen ein Angreifer über den Browser potenziell auslesen und mit Server-seitigen Daten kombinieren könnte.

Es findet keine Nutzung der Daten zu Werbe-, Profiling- oder Trackingzwecken außerhalb dieser Demo statt. Es werden keine Marketing-Cookies gesetzt und keine personenbezogenen Daten an Werbenetzwerke übermittelt.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis der DSGVO, insbesondere:

  • Art. 6 Abs. 1 lit. a DSGVO, sofern Sie uns eine Einwilligung erteilt haben (z. B. für die Live-Tracking-Demo mit Geolokation und Systemdaten).
  • Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, etwa zur technischen Bereitstellung der Website, zur Abwehr von Angriffen (Security-Logging) und zur Stabilität des Betriebs.

Die Live-Tracking-Demo (Standorterhebung, Systeminformationen, IP/Provider-Auflösung) erfolgt ausschließlich nach Ihrer aktiven Einwilligung (Opt-in). Server-Logs werden auf Basis unseres berechtigten Interesses geführt.

4. Server-Logs (Hosting / technische Bereitstellung)

Beim Aufruf dieser Website werden durch den Server automatisch Zugriffsdaten in sogenannten Server-Logfiles protokolliert. Dazu gehören in der Regel:

  • IP-Adresse des anfragenden Systems
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL / Ressource (Request-URI)
  • HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL (sofern übermittelt)
  • Browsertyp und -version, Betriebssystem (User-Agent)

Die Verarbeitung erfolgt zur technischen Bereitstellung der Website, zur Gewährleistung von Stabilität und Sicherheit (z. B. zur Erkennung und Abwehr von Angriffen) sowie zur Fehleranalyse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Server-Logdaten werden regelmäßig gelöscht, sobald sie für die genannten Zwecke nicht mehr erforderlich sind (in der Regel innerhalb von 30–90 Tagen).

5. Live-Tracking-Demo (Geolocation & Systeminformationen)

Bestimmte Funktionen auf der Startseite (z. B. der Button „Einverstanden & Live-Tracking starten“) verwenden Ihren Browser, um folgende Daten zu erheben und zu verarbeiten:

  • Geolokationsdaten: Breite, Länge, Genauigkeit und ggf. daraus abgeleitete Adressinformationen (z. B. Straße, Ort) über die Geolocation API Ihres Browsers. Die Abfrage erfolgt nur nach Ihrer Einwilligung/Bestätigung im Browser.
  • Systeminformationen (Client): z. B. Betriebssystem, Browsertyp und -version, Sprache, Zeitzone, CPU-Threads (hardwareConcurrency), approximierter RAM (deviceMemory), Plattform, Bildschirmauflösung und Pixeldichte sowie Informationen zu GPU/Rendering über WebGL, soweit der Browser dies zulässt.
  • Seitendaten: aktuelle Seiten-URL, Referrer-URL (falls übermittelt).
  • IP-Metadaten: öffentliche IP-Adresse, IP-Version (IPv4/IPv6) und Provider/Organisation, wie in Abschnitt 7 beschrieben.

Die erhobenen Daten werden in unserem Backend protokolliert (z. B. über das Skript log_capture.php) und in einer abgesicherten Datenbank (PostgreSQL) gespeichert. Sie dienen ausschließlich der Darstellung und Analyse im Rahmen der Awareness-Demo und ggf. zur technischen Fehleranalyse.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die Sie durch die aktive Bestätigung im Interface (Opt-in) erteilen. Ohne Einwilligung findet keine Standort- und Systemdatenerhebung für diese Demo statt.

6. SOC-Events und Security-Logging (Backend)

Zur Simulation und Analyse von Cyberangriffen in unserem Lab werden sicherheitsrelevante Ereignisse (SOC-Events) erfasst und in einer internen Datenbank gespeichert. Dies umfasst z. B.:

  • Quell-IP und Ziel-IP
  • Geo-Informationen zu Quelle/Ziel (Land, Stadt, Koordinaten)
  • Angriffsvektor (z. B. „SSH brute force“)
  • Schweregrad (Severity), betroffener Dienst/Port, Protokoll
  • Zeitstempel des Events
  • Rohdaten des Events als JSON

Die Daten stammen aus unserem eigenen Lab/SOC (Demo-Umgebung) und werden über eine gesicherte Schnittstelle (z. B. soc_ingest.php mit Token-Schutz) an unsere PostgreSQL-Datenbank übermittelt. Eine Zuordnung zu einzelnen Privatpersonen ist in der Regel nicht möglich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Angriffserkennung und Awareness). Die Daten werden ausschließlich intern in der Lab-Umgebung genutzt.

7. Externe Dienste (ipify, ipapi, Nominatim/OpenStreetMap)

Für bestimmte Funktionen der Demo greifen wir auf externe Dienste zurück, die personenbezogene Daten (insbesondere Ihre IP-Adresse und ggf. Geodaten) verarbeiten. Diese Dienste sind technisch erforderlich, um Ihnen zu demonstrieren, welche Informationen typischerweise ausgelesen werden können.

a) ipify.org (öffentliche IP-Adresse)

Zur Ermittlung Ihrer öffentlichen IP-Adresse (insbesondere IPv4) verwenden wir den Dienst „ipify“ (api.ipify.org). Dabei wird Ihre IP-Adresse an diesen Dienst übermittelt. Der Dienst kann sich in einem Drittland (z. B. USA) befinden.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, da die Abfrage im Rahmen der opt-in Tracking-Demo erfolgt.

b) ipapi.co (Geo-/Provider-Informationen)

Zur Anreicherung Ihrer IP-Adresse mit Geo- und Providerinformationen (z. B. Land, Stadt, Organisation / ISP) wird der Dienst „ipapi“ (ipapi.co) genutzt. Dabei wird Ihre IP-Adresse an ipapi übermittelt und dort ausgewertet.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Weitere Informationen finden Sie in den Datenschutzhinweisen von ipapi / ipapi.co.

c) Nominatim / OpenStreetMap (Reverse Geocoding)

Um aus Koordinaten (Breite/Länge) eine menschenlesbare Adresse (z. B. Straße, Ort) zu berechnen, nutzen wir den Dienst „Nominatim“, der auf OpenStreetMap-Daten basiert. Dazu werden Ihre Koordinaten an einen Nominatim-Server übertragen.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Nähere Informationen finden Sie in den jeweiligen Datenschutzhinweisen von OpenStreetMap/Nominatim.

8. Globale Cyber-Map (Kaspersky-Widget)

Auf der Startseite binden wir ein iFrame-Widget der Kaspersky-Cyberthreat-Map ein, um globale Cyberangriffe in Echtzeit zu visualisieren. Beim Laden dieses Widgets wird eine Verbindung zu Servern von Kaspersky aufgebaut und es können folgende Daten übermittelt werden:

  • Ihre IP-Adresse
  • Datum und Uhrzeit des Aufrufs
  • technische Informationen zu Browser und Betriebssystem
  • ggf. weitere Information, die Ihr Browser standardmäßig sendet

Anbieter ist die AO Kaspersky Lab (bzw. verbundene Unternehmen). Die Datenverarbeitung kann auch in Drittländern außerhalb der EU/des EWR erfolgen. Details entnehmen Sie bitte den Datenschutzhinweisen von Kaspersky.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer realitätsnahen Visualisierung globaler Cyberangriffe) oder – sofern das Widget nur nach expliziter Zustimmung geladen wird – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder wie wir gesetzlich dazu verpflichtet sind.

  • Server-Logs: in der Regel innerhalb von 30–90 Tagen.
  • Demo-/Tracking-Daten (Geolocation, Systeminfos): in der Regel innerhalb von 12 Monaten nach Erhebung, sofern keine technisch oder sicherheitsbedingt längere Aufbewahrung erforderlich ist.
  • SOC-/Security-Events: können aus Sicherheits- und Analysegründen länger gespeichert werden, sofern dies für die kontinuierliche Verbesserung und Dokumentation der Security-Demo erforderlich ist.

Im Einzelfall können abweichende Speicherdauern gelten, wenn gesetzliche Aufbewahrungsfristen entgegenstehen oder eine längere Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist.

10. Empfänger von Daten

Im Rahmen der oben beschriebenen Verarbeitungen können personenbezogene Daten insbesondere an folgende Kategorien von Empfängern übermittelt werden:

  • Technische Dienstleister / Hoster (Serverbetrieb)
  • Externe IP-/Geo-Dienste (ipify, ipapi, Nominatim)
  • Kaspersky (globales Cyber-Map-Widget)

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet oder dies ist zur Rechtsverfolgung erforderlich.

11. Datenübermittlung in Drittländer

Einige der genannten Dienste (insbesondere ipify, ipapi, Kaspersky) können Daten auch in Staaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeiten. In diesen Fällen erfolgt die Übermittlung nur, wenn sie auf Ihrer Einwilligung beruht oder geeignete Garantien nach Art. 44 ff. DSGVO bestehen (z. B. Standardvertragsklauseln).

Bitte beachten Sie, dass in bestimmten Drittländern das Datenschutzniveau ggf. nicht dem der EU entspricht und Behörden weitreichende Zugriffsmöglichkeiten haben können.

12. Ihre Rechte

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten stehen Ihnen nach der DSGVO insbesondere folgende Rechte zu:

  • Recht auf Auskunft über die betreffenden personenbezogenen Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO)
  • Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden, z. B. per E-Mail an schizo@schizo-sec.com.

Außerdem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer Daten zu beschweren, wenn Sie der Ansicht sind, dass diese gegen die DSGVO verstößt.

13. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den unbefugten Zugriff Dritter zu schützen. Dazu gehören u. a.:

  • Serverbetrieb auf aktueller, gehärteter Systembasis
  • Trennung von öffentlicher Website und interner Datenbank
  • Zugriff auf Backend-/Datenbank nur für autorisierte Personen (z. B. über Tools wie DBeaver)
  • Transportverschlüsselung (TLS) für Webzugriffe

Bitte beachten Sie, dass insbesondere die Security-Demo mit Absicht bestimmte technische Details sichtbar macht, um typische Angriffsflächen zu erläutern. Diese Darstellung dient jedoch ausschließlich Awareness-Zwecken; wir härten die zugrunde liegende Infrastruktur bestmöglich.

14. Aktualität dieser Hinweise

Diese Datenschutzhinweise werden fortlaufend an technische und rechtliche Entwicklungen angepasst. Eine jeweils aktuelle Fassung ist unter https://schizo-sec.com/datenschutz.html abrufbar.

Stand: Dezember 2025