▸ Grundsätze zu Datenschutz und Privatsphäre
0. Anwendbarkeit dieser Richtlinie
Diese Datenschutz-, Datenverarbeitungs- und Nutzungsrichtlinie ("Richtlinie") beschreibt die Richtlinien des Quad9 DNS Dienstes (der "Dienst"), eines rekursiven DNS Resolvers, der von der Quad9 Foundation ("Quad9") betrieben wird. Diese Richtlinie gilt für Transaktionen des Domain Name Service (DNS) zwischen den Benutzern von Quad9 und Quad9 unter normalen Bedingungen.
Dies ist Version 1.0 der Richtlinie, die am Mittwoch, dem 17. Februar 2021, veröffentlicht wurde.
Diese Richtlinie soll den Wortlaut und den Geist der Internet Engineering Task Force Kommentar 8932, Empfehlungen für Betreiber von Datenschutzdiensten erfüllen oder übertreffen, die den geltenden Standard darstellt, und kann mit Anhang 4.1, Beispiel RPS-Policy als Referenz verglichen werden.
Wir veröffentlichen ein eng damit zusammenhängendes Dokument, Compliance und geltendes Recht, dessen Durchsicht wir Ihnen dringend empfehlen, da es die Mechanismen dokumentiert, mit denen wir strafrechtlich für die Einhaltung dieser Datenschutzrichtlinie zur Rechenschaft gezogen werden, die Rechtsmittel und den Rechtsschutz, die Ihnen als Nutzer der Dienste von Quad9 unabhängig von Ihrer Staatsangehörigkeit oder Ihrem Wohnsitz zur Verfügung stehen, sowie die Beschränkungen der staatlichen Befugnis, in die von uns angebotenen Schutzmassnahmen einzugreifen.
Quad9 kann diese Richtlinie durch Veröffentlichung einer neuen Version mit einer fortlaufenden Versionsnummer unter https://quad9.net/privacy/policy/ ändern.
1.0 Behandlung von IP-Adressen
Quad9 betrachtet Internetprotokoll-("IP")-Adressen, die mit seinen Nutzern in Verbindung stehen, als personenbezogene Daten ("PII"). Quad9 verwendet die Vereinigung der Definitionen von PII, die im Schweizer Recht (Artikel 3 (a) DSG), im Recht der Vereinigten Staaten (2 CFR § 200.79) und im Recht der Europäischen Union (Artikel 4(1) DSGVO) enthalten sind, wobei im Falle eines Konflikts zwischen den drei Definitionen diejenige massgeblich ist, die dem Benutzer den grössten Schutz bietet, und wir dehnen diesen strengsten Schutz auf alle Benutzer von Quad9 aus, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz.
Wenn ein Nutzer des Dienstes eine Anfrage an Quad9 sendet, wird die Anfrage über das Internet von einer IP-Adresse, die unter der Kontrolle des Nutzers steht oder mit ihm in Verbindung steht (die "Reply To Address"), an eine IP-Adresse übertragen, die Quad9 gehört.
Wenn Quad9 eine DNS-Anfrage erhält, ist die IP-Adresse, von der es die Anfrage erhält, in fast allen Fällen die eines Caching/Forwarding DNS-Resolver oder die eines Proxy oder Network Address Translator ("NAT"); in jedem dieser Fälle repräsentiert die IP-Adresse eine Gruppe von Nutzern, oft eine ziemlich grosse Gruppe, die manchmal in die Millionen geht, und diese Nutzer kommen und gehen, unsichtbar für uns, versteckt hinter dieser Vermittlungsadresse. In diesen Fällen, die nach unserem besten Wissen fast die gesamte Nutzung unserer Systeme ausmachen, ist die IP-Adresse keine PII. Aber in einem aussergewöhnlichen Fall kann die IP-Adresse, von der wir eine Anfrage erhalten, eindeutig und global geroutet und direkt mit einer Person verbunden sein, in diesem Fall ist sie PII.
Quad9 unternimmt keinen Versuch, zwischen IP-Adressen, die mit Resolvern oder NATs verbunden sind, und solchen, die mit einzelnen Benutzern verbunden sind, zu unterscheiden, da dies unseren Dienst nicht verbessern würde, sondern gleichzeitig Ressourcen verbrauchen und einzelne Benutzer unnötigerweise aus der schützenden Herde unseres Traffics herausheben würde. Kurz gesagt, obwohl diese Praxis für diejenigen von zentraler Bedeutung ist, die die Informationen von Einzelpersonen sammeln und monetarisieren würden ("Bereinigung der Adressliste" in Bezug auf Werbung), ist sie für uns ein Anathema.
Daher gehen wir den einfacheren Weg und behandeln alle IP-Adressen, von denen wir Anfragen erhalten, so, als wären sie PII. In diesem Dokument bezeichnen wir sie alle gemeinsam als "Reply To Addresses", da dies ihre funktionale Beziehung zu unserem Dienst und unserer Datenschutzrichtlinie ist, unabhängig davon, wie (und für uns unsichtbar) sie aus der Sicht des Benutzers funktionieren. Diese Definition ist im Zusammenhang mit einer Datenschutzrichtlinie nützlich, da sie alle IP-Adressen umfasst, von denen wir Anfragen erhalten (von denen wir alle als PII behandeln), aber nicht unsere eigenen (die keine sind).
Wenn Quad9 die Anfrage erhält, ist sie notwendigerweise in einem "Umschlag" (genauer gesagt, einem IP-Protokoll-Header) enthalten, der diese beiden Adressen enthält. Quad9 hält die Reply To Address notwendigerweise im flüchtigen Arbeitsspeicher ("RAM") für die wenigen Mikrosekunden bis Millisekunden, die für den Dienst der Benutzeranfrage erforderlich sind. Während dieser Zeit verwendet Quad9 die Reply To Address, um einen Zähler für die Anzahl der Anfragen zu erhöhen, die von dem umschliessenden BGP-angekündigten Präfix der Reply To Address empfangen wurden, sowie einen Zähler für die Anzahl der Anfragen, die von einer geografischen Region empfangen wurden, die kleiner als eine Nation oder eine Bevölkerung von mindestens 10.000 Personen ist.
Die Reply To Address wird für keine anderen Zwecke verwendet und wird aus dem Arbeitsspeicher gelöscht, sobald (im Falle einer vom Benutzer über das User Datagram Protocol übermittelten Anfrage) wir die Antwort an die Reply To Address des Benutzers übermittelt haben oder (im Falle einer vom Benutzer über das Transmission Control Protocol übermittelten Anfrage), wenn der Benutzer oder Quad9 die TCP-Verbindung schliesst. Die Reply To Address (oder eine Repräsentation oder ein Proxy dafür) wird weder in einen permanenten Speicher kopiert noch über das Netzwerk an ein anderes Ziel als den Benutzer übertragen. Sie verlässt den Rechner, auf dem wir sie empfangen haben, nur in Form einer Antwort an den Benutzer – an kein anderes Ziel, in keiner anderen Form, für keinen anderen Zweck.
Wir gehen aus zwei Gründen nicht davon aus, dass dieser Vorgang auf unseren Servern stattfindet. Erstens verhindern wir dies, indem wir jedem Client-Image eine Menge an physischem RAM zuweisen, die die Menge an RAM übersteigt, auf die es glaubt Zugriff zu haben. Zweitens sind die Seiten des Arbeitsspeichers, die Live-DNS-Abfrage-Transaktionsendpunkte enthalten, die aktivsten und nicht die am wenigsten aktiven, und wenn eine von ihnen auf die Festplatte ausgelagert würde, würde die Funktion des Rechners im Wesentlichen zum Stillstand kommen. Dies würde in unseren Leistungsüberwachungssystemen als grelles Leuchtfeuer auffallen, so dass es für uns offensichtlich wäre, wenn es auftreten würde – dies ist nicht der Fall.
2.0 Datenerfassung und -weitergabe
Als gemeinnützige Stiftung, die sich der Bereitstellung von sicherem, privatem und performantem rekursivem DNS verschrieben hat, beschränkt Quad9 seine Datenerfassung ausschliesslich auf Daten, die es uns ermöglichen, unsere Aufgabe im Dienste unserer Nutzer besser zu erfüllen. Wenn Daten den Dienst nicht sicherer für seine Nutzer, privater für seine Nutzer oder schneller und stabiler für seine Nutzer machen, machen wir uns nicht die Mühe, sie zu sammeln.
Quad9 verfügt über keinen Mechanismus, mit dem sich Benutzer anmelden oder ein Konto erstellen oder uns anderweitig ihre Identität offenlegen können, da wir weder technisch noch geschäftlich in der Lage sein müssen, Benutzer zu identifizieren oder voneinander zu unterscheiden. Daher haben wir keine Datensätze oder Datenstrukturen, die mit dem Benutzer verknüpft oder verschlüsselt sind, und folglich haben wir auch keine Möglichkeit, Daten über den Benutzer zu speichern oder abzurufen.
2.1 IP-Adressen
Quad9 sammelt oder speichert keine IP-Adressen, keinen Proxy für IP-Adressen oder deren Repräsentation und auch keine anderen eindeutigen Identifikatoren von Personen anstelle von IP-Adressen.
Da Quad9 keine IP-Adressen sammelt oder aufbewahrt, können diese nicht mit anderen Informationen, wie Abfrage-Labels oder Zeitstempeln, kombiniert oder korreliert werden, um die Privatsphäre der Benutzer von Quad9 zu verletzen.
2.2 Erfasste Daten
Die Datenerfassung von Quad9 erfolgt hauptsächlich in Form von Integer-Zählern. Auf jedem Quad9-Server wird eine vollständige Liste der Elemente gezählt:
- Die Anzahl der Abfragen für jeden Query Type, z. B. A, AAAA, NS, MX, TXT
- Die Anzahl jedes Antworttyps, z. B. SUCCEss, SERVFAIL, NXDOMAIN
- Die Anzahl der Abfragen, die über jedes Transportprotokoll und jeden Verschlüsselungstyp eingehen, z. B. IPv4, IPv6, TCP, UDP, DoT, DoH, DNScrypt
- Die Anzahl der Abfragen, die aus jeder geografischen Region stammen
- Die Anzahl der Abfragen für jede bösartige Domain, die aus jeder geocodierten Region stammen
- Die Anzahl der Abfragen, die von jedem BGP-angekündigten IP-Präfix ausgehen
- Die Anzahl der Abfragen für jede bösartige Domain mit Ursprung in jedem BGP-angekündigten IP-Präfix
Darüber hinaus zeichnen wir auf:
- Die Zeiten der ersten und letzten Instanzen von Abfragen für jedes Abfrage-Label
Keiner dieser Zähler enthält personenbezogene Daten, noch korrelieren sie mit einer einzelnen Abfrage oder beziehen sich speziell auf diese.
Wo wir Zählungen pro geografischer Region durchführen, verwenden wir demografische Daten, um sicherzustellen, dass keine Region kleiner ist als die Grösse einer Nation oder eine Bevölkerung von nicht weniger als 10.000 Personen.
Mit den geografischen Zählern verfolgen wir zwei Ziele: Wir wollen sicherstellen, dass in einer Region genügend Quad9-Server-Kapazitäten vorhanden sind, um die Bevölkerung vor Ort gut zu versorgen, und wenn Cyber-Bedrohungen auftreten, wollen wir verstehen, inwieweit sie auf eine bestimmte Bevölkerung abzielen oder diese unverhältnismässig stark betreffen.w Wir sind uns bewusst, dass, wenn eine geografische Region zu klein oder zu dünn besiedelt wäre, sie möglicherweise nur eine einzige Person enthalten könnte und somit mit PII aus anderen Quellen korreliert werden könnte, um ein Risiko für die Privatsphäre dieser Person zu schaffen.
Alle oben genannten Daten können ganz oder teilweise in permanenten Archiven aufbewahrt werden.
2.3 Weitergabe von Daten
Quad9 teilt, verkauft oder vermietet keine Daten, die eine Person identifizieren könnten.
Wir geben diese Informationen nicht weiter, weil wir nicht über diese Informationen verfügen. Wir haben diese Informationen nicht, weil wir diese Informationen nicht benötigen. Da wir diese Informationen nicht benötigen, haben wir keinen Mechanismus entwickelt, um sie zu sammeln, aufzubewahren, zu analysieren oder weiterzugeben.
Quad9 gibt nur in sehr begrenztem Umfang statistische Zähler an die Threat Intelligence Analysten weiter, die uns die Threat Intelligence Feeds zur Verfügung stellen, mit denen wir unsere Benutzer vor bösartigen Angriffen schützen können. Dieses Feedback ermöglicht es den Threat Intelligence Analysten, ihre Analysen zu verfeinern und uns mit genaueren Informationen zu versorgen, was uns wiederum ermöglicht, unseren Benutzern eine höhere Sicherheit zu bieten. Diese Informationen enthalten keine persönlich identifizierbaren Daten oder Daten, die mit anderen Daten korreliert werden könnten, um eine Person oder deren Internetnutzung zu ermitteln. Im Einzelnen teilen wir mit jedem Threat Intelligence Analysten die folgenden drei Informationsquellen:
- Zeitstempel jeder Abfrage für jede bösartige Domain, die sie uns identifiziert haben
- Die Anzahl der Abfragen für jede von ihnen identifizierte bösartige Domain, die aus jeder geokodierten Region stammen
- Die Anzahl der Abfragen für jede bösartige Domain, die sie uns identifiziert haben und die von jedem BGP-angekündigten IP-Präfix ausgehen
Zur Erleichterung der Threat Intelligence Analysten geben wir auch die Autonomous System Number an, die mit dem BGP-angekündigten IP-Präfix verbunden ist. Dabei handelt es sich nicht um Daten, die aus Abfragen der Benutzer abgeleitet werden, sondern um Daten, die unabhängig von BGP-Routing-Tabellen abgeleitet werden. Sie enthalten keine PII und können auch nicht mit PII kombiniert werden, um einen Benutzer zu charakterisieren.
Wir geben keine Zähler, die mit bösartigen Domains in Verbindung stehen, an Threat Intelligence Analysten weiter, die uns diese spezifische Domain nicht als bösartig identifiziert haben.
Quad9 stellt Daten für einige wenige, sorgfältig überprüfte Sicherheitsforscher zur Verfügung, damit diese die Öffentlichkeit aufklären und besser vor Cyber-Bedrohungen schützen können. Diese Daten können aus einer spärlichen statistischen Stichprobe von mit Zeitstempeln versehenen DNS-Antworten aus unserem Cache oder von vorgelagerten autoritativen Servern bestehen, jedoch nicht aus Adressen, Präfixen, ASN oder anderen Daten in Bezug auf den Benutzer oder die Abfrage. Sie enthalten keine PII oder Daten, von denen wir glauben, dass sie mit PII kombiniert oder korreliert werden könnten, um einen Benutzer oder sein Verhalten zu charakterisieren. Wenn wir eine solche Unterstützung bereitstellen, tun wir dies nur unter einer schriftlichen Vereinbarung, dass der Forscher die von uns bereitgestellten Informationen ausschliesslich zum Zweck der Verbesserung der Benutzersicherheit und nicht für andere Zwecke verwendet. Wir verlangen, dass Forscher ihre Analysen auf Servern und Infrastrukturen durchführen, die Quad9 gehören und von uns betrieben werden, und erlauben nicht, dass Daten von diesen Systemen in anderer als in zusammengefasster Form exportiert werden.
Quad9 veröffentlicht allgemeine Informationen, wie z. B. die Anzahl der blockierten Bedrohungen und die Betriebszeit der Infrastruktur, für die Öffentlichkeit.
3.0 Ausnahmen
Wie jeder Betreiber kritischer Infrastrukturen müssen wir die Sicherheit unserer Systeme aufrechterhalten, um die Privatsphäre unserer Benutzer zu gewährleisten. Wir haben eine separate Datenschutzrichtlinie für anomale Zustände, wie z. B. solche, in denen Benutzer Cyber-Angriffe gegen uns durchführen.
4.0 Verbundene Entitäten
Quad9 liefert Daten an die Threat Intelligence Analysten, die uns die Mittel zur Verfügung stellen, um unsere Nutzer vor bösartigen Domains zu schützen, wie in Abschnitt 2.3 beschrieben. Quad9 stellt Forschern Informationen zur Verfügung, um sie dabei zu unterstützen, Cyber-Bedrohungen besser zu verstehen und die Öffentlichkeit besser vor ihnen zu schützen. Diese von uns angebotene Unterstützung enthält jedoch keine PII oder Daten, die unserer Meinung nach mit PII kombiniert oder korreliert werden könnten, um einen Benutzer oder sein Verhalten zu charakterisieren. Wenn wir eine solche Unterstützung bereitstellen, tun wir dies nur unter einer schriftlichen Vereinbarung, dass der Forscher die von uns bereitgestellten Informationen ausschliesslich zum Zweck der Verbesserung der Benutzersicherheit und nicht für andere Zwecke verwendet. Keine anderen Entitäten erhalten Daten von Quad9, abgesehen von denen, die der breiten Öffentlichkeit zur Verfügung gestellt werden.
5.0 Korrelation von Daten
Wir korrelieren oder kombinieren die in unserem Besitz befindlichen Daten nicht mit Daten aus anderen Quellen.
6.0 Ergebnisfilterung
Quad9 bietet sowohl gefilterte als auch ungefilterte Antworten auf DNS-Abfragen an, wobei der Benutzer die Wahl hat.
6.1 Filterung
Quad9 verwendet Threat Intelligence-Informationen, die von qualifizierten Threat Intelligence Analysten stammen, um den Benutzern von Quad9 optionalen Sicherheitsschutz zu bieten. Quad9 prüft die Threat Intelligence Analysten sorgfältig und bewertet die Qualität der bereitgestellten Informationen kontinuierlich. Die Bedrohungsdaten werden aus diesen zahlreichen Quellen zu einer einzigen "Sperrliste" von Domains zusammengefasst, von denen mit einem hohen Mass an Vertrauen angenommen wird, dass sie hauptsächlich oder ausschliesslich zu dem Zweck existieren, einem Benutzer Schaden zuzufügen. Da viele dieser Datenfeeds aus Millionen bösartiger Entitäten bestehen und daher nicht von Menschenhand überprüft werden können, führt Quad9 eine kontinuierliche Prüfung dieser Datenfeeds durch, um deren Qualität und Zweckmässigkeit sicherzustellen. Quad9 arbeitet bidirektional mit Threat Intelligence Analysten zusammen, um ihnen dabei zu helfen, die Qualität ihrer Analysen und damit den Schutz der Quad9-Anwender zu verfeinern. Diese Zusammenarbeit umfasst die gemeinsame Nutzung von Daten, wie in Abschnitt 2.3 definiert.
Quad9 ermöglicht es Benutzern ausserdem, den aktuellen Sperrstatus jeder Domain über ein Formular auf unserer Seite abzufragen. Für jede gesperrte Domain gibt Quad9 über diesen Mechanismus die Identität des Bedrohungsanalysten bekannt, der die Sperrung vorgeschlagen hat, und stellt einen etwaigen Erläuterungstext zur Verfügung, den dieser bereitgestellt hat.
6.1.1 Zensur
Quad9 zensiert die von ihm bereitgestellten Antworten zu keinem anderen Zweck als der Sperrung bösartiger Domains im Zusammenhang mit Phishing, Malware, Ausnutzung von Sicherheitslücken oder Betrug, wie in Abschnitt 6.1 beschrieben. Quad9 akzeptiert keine Zensuranfragen von Regierungen oder anderen Entitäten. Quad9 weist seine Threat Intelligence Analysten darauf hin, dass es keine Vorschläge zur Domain-Sperrung aus Gründen der Zensur akzeptiert und solche Versuche, von denen wir Kenntnis erlangen, rückgängig machen wird.
6.1.2 Versehentliches Blockieren
Quad9 nimmt "Fehlalarmmeldungen" aus der Öffentlichkeit über Domains entgegen, von denen Benutzer glauben, dass sie legitim sind und fälschlicherweise blockiert wurden. Diese Berichte können über ein Formular auf unserer Webseite oder per E-Mail an support@quad9.net eingereicht werden. Quad9 bemüht sich nach besten Kräften, jede gemeldete Domain manuell zu untersuchen. Benutzer sollten bedenken, dass böswillige Akteure ihre böswilligen Domains im Wesentlichen immer als fälschlicherweise blockiert melden, so dass die Überprüfung von Fehlalarmen ein mühsamer Prozess ist. Wenn Quad9 feststellt, dass eine blockierte Domain fälschlicherweise blockiert wurde, wird sie einer "Zulassungsliste" hinzugefügt, die die von Threat Intelligence Analysten erhaltenen Informationen über bösartige Bedrohungen ausser Kraft setzt, und die Domain wird dauerhaft von unserer aggregierten Sperrliste entfernt.
7.0 Ihre Rechte
Sie haben das Recht, jederzeit schriftlich und unentgeltlich Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu erhalten. Darüber hinaus haben Sie das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten sowie auf Freigabe bestimmter personenbezogener Daten zur Übermittlung an einen anderen Verantwortlichen. Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung mit Wirkung für die Zukunft zu widerrufen. Die entsprechenden Kontaktdaten finden Sie in der Einleitung zu dieser Datenschutzerklärung.
Darüber hinaus steht jeder betroffenen Person das Recht zu, ihre Rechte gerichtlich geltend zu machen oder eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (http://www.edoeb.admin.ch).
8.0 Kontakt
Wenn Sie Fragen oder Anmerkungen zum Datenschutz im Zusammenhang mit dieser Erklärung haben, senden Sie bitte eine E-Mail an support@quad9.net. Sie können uns auch schriftlich unter dieser Adresse erreichen:
Quad9, c/o SWITCH, Werdstrasse 2, P.O. Box, CH-2021 Zurich
-end-
Diese Richtlinie wird unter einer Creative Commons Attribution-NonCommercial-ShareAlike-Lizenz veröffentlicht.
Die folgende Übersetzung dient nur zu Ihrer Information. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen dieser übersetzten Version und der englischen Version (auch als Folge von Verzögerungen bei der Übersetzung), ist die englische Version massgebend.
Externe Links
Kommentar 8932 – Empfehlungen für Betreiber von Datenschutzdiensten
Beispiel RPS-Richtlinie
Artikel 3 (a) DSG – Schweizerisches Bundesgesetz über den Datenschutz
2 CFR § 200.79 – Gesetz der Vereinigten Staaten
Artikel 4(1) DSGVO – Vorschriften der Europäischen Union
Caching/Forwarding DNS Resolver – Quora
Proxy-Server – Wikipedia
Netzwerk-Adressübersetzer – Wikipedia