You cannot select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

706 lines
25 KiB

<!DOCTYPE html>
<meta http-equiv="CONTENT-TYPE" content="text/html; charset=utf-8" lang="en">
<!--meta name="copyright" content="CAcert Inc" -->
<title>CAcert Website Data Privacy Policy</title>
<!--[if lt IE 9]>
var e = ("abbr,article,aside,audio,canvas,datalist,details," +
"figure,footer,header,hgroup,mark,menu,meter,nav,output," +
for (var i = 0; i < e.length; i++) {
<!-- Data_protection_web_v004_1_html5 -->
<style type="text/css">
/* mark HTML5 block elements as such for HTML5 unaware browsers */
display: block
body {
font-family: verdana, helvetica, arial, sans-serif;
pre,code,kbd,tt,samp,.pre {
font-family: Fixedsys, Courier, monospace;
list-style-type: none;
th {
font-weight: normal;
td,th {
padding: 5px;
dt {
font-weight: bold;
.blockpar {
text-indent: 2em;
margin-top: 0em;
margin-bottom: 0.5em;
text-align: justify;
figcaption {
text-align: center;
color: gray;
margin-top: 0.5em;
.center {
text-align: center;
.q {
color: green;
font-weight: bold;
text-align: center;
font-style: italic;
.error {
color: red;
font-weight: bold;
text-align: center;
font-style: italic;
.change {
color: blue;
font-weight: bold;
.b {
font-weight: bold;
dfn {
font-weight: bold;
.first-does-not-work {
color : red;
.comment {
color : steelblue;
.q {
color : green;
font-weight: bold;
text-align: center;
.change {
color : blue;
font-weight: bold;
.change2 {
color : steelblue;
.strike {
color : blue;
.draftadd {
color : darkblue;
font-weight: bold;
font-style: italic;
.draftdrop {
color : darkblue;
font-style: italic;
<p style="text-align: center;">
<br /><b>WARNING:</b><br />
The proper policy document is located<br />
<a href="//">
on the CAcert website </a>.<br />
This document is for the purposes of policy group
preparing <b>work-in-progress</b> and <b>DRAFT</b> future revisions.<br />
It is primarily <b>relevant for the [policy] group</b>.<br />
Any approved DRAFT change herein may be considered,<br />
as an Arbitrator will likely enforce their effect,<br />
but they are unlikely to effect most disputes.<br />
<br />
Colour code:<ul>
<li> <span class="change">Additions in BLUE</span> <span class="strike">strikes in BLUE</span> are suggestions for future voting in PG.</li>
<li> <span class="q">Modifications in GREEN</span> are areas awaiting debate and voting in PG. (None at moment.)</li>
<li> <span class="change2">minor and routine tweaks are in steelblue</span>.</li>
<li> DRAFT-approved <span class="draftadd">additions</span> and <span class="draftdrop">subtractions</span> are <span class="draftadd">shown in darkblue</span> as approved by a policy group motion.</li>
<p style="text-align: center;">A history of modifications is maintained at the end.</p>
<hr />
<div class="comment">
<table width="100%">
Name: WDPP <!--<a style="color: steelblue" href="//">COD7</a>--><br />
Status: WIP <!--<a style="color: steelblue" href="//">m20070919.3</a>--><br />
Editor: <a style="color: steelblue" href="//">Benedikt Heintel</a><br />
Licence: <a style="color: steelblue" href="//" title="this document is Copyright &copy; CAcert Inc., licensed openly under CC-by-sa with all disputes resolved under DRP. More at" > CC-by-sa+DRP </a><br /></td>
<td valign="top" align="right">
<a href="//"><img src="images/cacert-wip.png" alt="WDPP Status - WIP" height="31" width="88" style="border-style: none;" /></a><br />
<p><a name="english">English (normative)</a></p>
<h1>CAcert Website Data Privacy Policy</h1>
The following Data Privacy Policy is sole for the CAcert Website.
The use of certificates and the assurances are covered in the <a
Privacy Policy.</a>
<p>"CAcert" describes this service and/or the CAcert Inc.</p>
<p>The privacy and security of your data is CAcert's primary
<p>This Data Privacy pages gives you an overview how CAcert
processes your personal data.</p>
<section id="en_p1">
<h2>1. CAcert's principles for processing personal data</h2>
<p>CAcert complies to following principles of data privacy:</p>
<li>CAcert collects, processes and uses personal data on its
websites under the data privacy regulations of the European
<li>CAcert processes personal data exclusively to allow you
the usage of internet services you need to register for. Under
no circumstances will CAcert transfer personal data for
marketing or advertisement reasons or without permission to
third parties.</li>
<li>Each CAcert member can decide which of his/her private
data will be shown to other CAcert members. Exemptions are only
made for Arbitrators from the internal Arbitration and persons
authorized by them who are allowed to see personal data (see 3.
of this data privacy policy) of individual persons in special
<li>Persons who are not member of CAcert cannot see CAcert
member's personal data, if not ruled otherwise by an Arbitrator.</li>
<section id="en.p2">
<h2>2. General definitions of this data privacy policy</h2>
<p>CAcert's data privacy policy consists of several predefined
notations with the following definitions:</p>
<li><dfn>"Personal Data"</dfn> consists all
values about personal or objective circumstances linked to a
particular or determinable natural person.</li>
<li>The Websites containing the CAcert services are jointly
called <dfn>"CAcert Websites"</dfn>.
<li>The users registered with the CAcert Websites are called
<dfn>"CAcert Members"</dfn>.
<li>Service offered on the CAcert Websites and you need to
register for are called <dfn>"CAcert
<li>The personal data you must to declare during registration
are called <dfn>"Registration Data"</dfn>.
<li>The page of the CAcert Websites where you can see and
change your personal data is called <span class="b">"Profile"</span>.
<dfn>"Arbitrations"</dfn> are ruled by
<dfn>"Arbitrators"</dfn> and binding for all CAcert Members.
<section id="en.p3">
<h2>3. Which data is saved by CAcert, for which purposes is
this data used by CAcert and its members and what happens to
personal data?</h2>
<section id="en.p3.1">
<h3>3.1 Registration information</h3>
To use CAcert services is it necessary that CAcert collects and
processes personal data, so called <dfn>registration
information</dfn>. CAcert collects the following data:
<li>First Name, Middle Name, Last Name and Suffix (Middle
Name and Suffix are optional)</li>
<li>Date of Birth</li>
<li>Email Address</li>
<li>Pass Phrase</li>
<li>5 Lost Pass Phrase Questions and the matching answers</li>
<li>Client certificate used for login</li>
<p>Pass phrases, lost pass phrase questions, and the matching
answers are at no time and under no circumstances visible to
other ordinary CAcert members. CAcert Support Engineers are able
to see and change the questions and answers on request of the
user or based on an arbitration ruling. Questions and answers
will never be provided to third parties and/or offered to them.
<p>Following registration information can made visible to
other CAcert Members:</p>
<li>First Name and the first letter of the Last Name</li>
<section id="en.p3.2">
<h3>3.2 Voluntary Information</h3>
Additionally to the registration information, <span class="b">voluntary
information</span> can be provided. This information allows other
CAcert Members to get in touch. Voluntary information are:
<li>Preferred Language</li>
<li>Additional Languages</li>
<li>Contact Information (free text)</li>
<p>Voluntary information are - depending on the settings -
available for all CAcert Members. Additionally the first name
and the first letter of the last name are displayed.</p>
<p>Voluntary information can be changed on any time by
deleting them or changing the display information.</p>
<section id="en.p4">
<h2>4. Data from an Assurance</h2>
<p>When requesting an Assurer to perform an Assurance, following
information are shown to him, to verify the information given to
the Assurer in the Assurance:</p>
<li>First Name, Middle Name, Last Name and Suffix</li>
<li>Date of Birth</li>
<li>Email Address</li>
<p>In addition, the Assurer enters:</p>
<li>Date of Assurance</li>
<li>Place of Assurance</li>
<li>Number of assigned points</li>
<p>All information will be stored together with the reference
number of the Assurer.</p>
<section id="en.p5">
<h2>5. Newsletter</h2>
<p>CAcert offers newsletters to general information of CAcert,
gatherings, events and fairs. Which information, gatherings,
events and fair are send can be selected on registration and
changed any time on the "My Alert Settings" page.</p>
<section id="en.p6">
<h2>6. Cookies</h2>
<p>"Cookies" are small files making it possible to save user
defined information on a PC or other (mobile) device during the
usage of CAcert Services. Cookies can be used to enhance the
user's security.</p>
<p>CAcert Services do use so called "Session Cookies" on log in
(using Password Login or Certificate Login) to the CAcert Member
account to authenticate the user during his visit thought the
page. After the session ended, the Cookie will be deleted
<p>Cookies can be disabled in the web browser or restricted to
selected websites. The browser can also inform if a Cookie is set.
It is possible to deleted Cookies on any time from the computer's
hard disk drive or the flash drive of any other device. The usage
of the CAcert Services might be limited, if Cession Cookies are
<p>Third parties might set Cookies for the usage of CAcert
Applications that might be fully or partly offered by third
parties. To disallow the setting of Cookies by third parties, the
browser can be set not to do so.</p>
<section id="en.p7">
<h2>7. Log Files</h2>
<p>Every site request will be logged in a server log on the web
server. Following information is saved per data set for a maximum
period of six weeks:</p>
<li>Caller's IP address, the current date and time, status,
the request, and the amount of data transferred.</li>
<li>The product and version information of the caller's
Browser (User Agent).</li>
<p>CAcert is using the standardised "combined" log file format
of the Apache webserver.</p>
<p>The log files are used anonymised, i.e. without the
possibility to connect the data to a dedicated person, for
statistical purposes. This way CAcert is e.g. able to collect
information over the usage of the CAcert Websites over time and
the volume of data transferred. Moreover, CAcert is able to find
possible malfunction, e.g. wrong set links or bugs, from the log
files. The log files are therefore used to enhance the CAcert
websites. To protect CAcert, the CAcert Services, the CAcert
Websites, and the CAcert Members with their data, CAcert reserves
the right to use the data from log files to identify illegal
behaviour or those contrary to contract. Log files can be seen and
analysed only by CAcert's System Administrators if not ruled
otherwise by an administrator.</p>
<section id="en.p8">
<h2>8. Minors and Other Not Authorised to Represent Themselves</h2>
<p>Adults or deputies are responsible for the protection of the
minor's or unauthorised's privacy.</p>
<section id="en.p9">
<h2>9. Access to the Data Privacy Policy</h2>
<p>This Data Privacy Policy can be viewed and printed any time
on the CAcert Websites with the link "Data Protection".</p>
<hr />
<p style="text-align: center;">History of modifications:</p>
<a href=""><img style="float: right; border-width: 0" src="" alt="Valid XHTML 1.1" height="31" width="88" /></a>
<hr />
<p><a name="german">Deutsch (informative translation only)</a></p>
<h1>CAcert Datenschutzbestimmungen</h1>
Die nachfolgenden Datenschutzbestimmungen gelten fÜr die Webseite
von CAcert. FÜr die Nutzung digitaler Zertifikate und die
Assurance gilt die <a
Privacy Policy.</a>
<p>"CAcert" bezeichnet diesen Dienst und/oder die CAcert Inc.</p>
<p>Der Schutz Ihrer personenbezogenen Daten ist CAcert ein
zentrales Anliegen.</p>
<p>Mit diesen Datenschutzbestimmungen möchte CAcert Sie darÜber
informieren, wie personenbezogene Daten verarbeitet werden.</p>
<section id="de.p1">
<h2>1. CAcerts Grundprinzipien bei der Verarbeitung
personenbezogener Daten</h2>
<p>CAcert unterwirft sich folgenden Grundsätzen beim Schutz
personenbezogener Daten:</p>
<li>CAcert erhebt, verarbeitet und nutzt personenbezogene
Daten auf seinen Webseiten unter Einhaltung der
Datenschutzbestimmungen der Europäischen Union.</li>
<li>CAcert nutzt personenbezogene Daten ausschließlich, um
die Inanspruchnahme der registrierungspflichtigen
Internet-Dienste zu ermöglichen. In keinem Fall wird CAcert
personenbezogenen Daten zu Werbe- oder Marketingzwecken oder
unbefugt zu anderen Zwecken Dritten Übermitteln (das heißt zum
Beispiel zur Kenntnis geben oder weitergeben).</li>
<li>Jedes CAcert-Mitglied entscheidet selbst, welche der
eigenen bei CAcert eingegebenen personenbezogenen Daten durch
andere CAcert-Mitglieder eingesehen werden können, Ausnahmen
stellen Schlichter aus der internen Schiedsgerichtsbarkeit dar,
die in speziellen Fällen die personenbezogenen Daten (vgl.
Ziffer 3. dieser Datenschutzbestimmungen) einzelner Mitglieder
einsehen dÜrfen.</li>
<li>Nichtmitglieder von CAcert können keine personenbezogenen
Daten von CAcert-Mitgliedern einsehen, Ausnahmen werden durch
Arbitrations geregelt.</li>
<section id="de.p2">
<h2>2. Feststehende Begriffe dieser Datenschutzbestimmungen</h2>
<p>CAcert verwendet in diesen Datenschutzbestimmungen bestimmte
feststehende Begriffe, die nachstehend definiert sind:</p>
<li><dfn>"Personenbezogene Daten"</dfn>sind alle
Einzelangaben Über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natÜrlichen Person. Die Websites,
auf denen CAcert die Dienste anbietet, werden insgesamt die
"CAcert-Websites" genannt.</li>
<li>Die auf den CAcert-Websites registrierten Nutzer werden
die <dfn>"CAcert-Mitglieder"</dfn> genannt.
<li>Die auf den CAcert-Websites angebotenen
registrierungspflichtigen Dienste werden <dfn>"CAcert-Dienste"</dfn>
<li>Die bei der Registrierung fÜr die CAcert-Dienste
anzugebenden personenbezogenen Pflichtdaten werden als <dfn>"Registrierungsangaben"</dfn> bezeichnet.
<li>Die Seite der CAcert-Websites, auf der CAcert die
eingegebenen personenbezogenen Daten gemäß der gemachten Angaben
darstellt, wird <dfn>"Profil"</dfn> genannt.
<li><dfn>"Arbitration"</dfn> ist ein internes
Schiedsgerichtsurteil, dass durch den <dfn>"Arbitrator"</dfn>
(Schiedsrichter) gesprochen wird und fÜr jedes CAcert-Mitglied
bindend ist.</li>
<section id="de.p3">
<h2>3. Welche Informationen speichert CAcert, wozu können diese
Daten durch CAcert und die CAcert-Mitglieder verwendet werden und
was passiert mit den personenbezogenen Daten?</h2>
<section id="de.p3.1">
<h3>3.1 Registrierungsangaben</h3>
Damit die CAcert-Dienste genutzt werden können, muss CAcert bei
der Registrierung bestimmte personenbezogene Daten als <dfn>Registrierungsangaben</dfn> erheben und diese
verarbeiten. Dies sind zunächst einmal die folgenden Daten:
<li>Vorname, Mittelnamen, Familienname und Suffix
(Mittelnamen und Suffix sind freiwillig)</li>
<li>5 Verlorene-Passwort-Fragen und deren Antworten</li>
<li>Client Zertifikate, die zur Anmeldung genutzt werden.</li>
<p>Passwörter, Verlorene-Passwort-Fragen und deren Antworten
sind fÜr andere CAcert-Mitglieder in keinem Fall und zu keinem
Zeitpunkt einsehbar. Die Fragen und Antworten können auf Wunsch
des Nutzers oder durch einen Schiedsrichterspruch von CAcert
Support Engineers eingesehen und geändert werden, werden jedoch
in keinem Fall an Dritte weitergeben und/oder diese Dritten zur
Kenntnis geben.</p>
<p>Von den Registrierungsangaben können nachfolgende Daten fÜr
andere CAcert-Mitglieder im vollen Umfang sichtbar gemacht
<li>Vorname und erster Buchstabe des Nachnamens</li>
<section id="de.p3.2">
<h3>3.2 Freiwillige Angaben</h3>
Neben den Registrierungsangaben können auf freiwilliger Basis
zusätzliche Angaben (im Folgenden <dfn>"freiwillige
Angaben"</dfn> genannt) gemacht werden, die es anderen
CAcert-Mitgliedern ermöglichen, Kontakt aufzunehmen. Zu den
freiwilligen Angaben zählen derzeit:
<li>Bevorzugte Sprache</li>
<li>Zusätzliche Sprachen</li>
<li>Kontaktinformationen (Freitext)</li>
<p>Freiwillige Angaben werden nach der Einstellung der
Verzeichnisauflistung fÜr alle anderen CAcert-Mitglieder
sichtbar, zusätzlich wird der Vorname und der erste Buchstabe
des Nachnamens angezeigt.</p>
<p>Freiwillige Angaben können jederzeit mit Wirkung fÜr die
Zukunft widerrufen werden, indem sie gelöscht werden oder die
Verzeichnisauflistung entsprechend geändert wird.</p>
<section id="de.p4">
<h2>4. Assurance Daten</h2>
<p>Bei der DurchfÜhrung einer Assurance erhält der Assurer das
Recht folgende personenbezogene Daten einzusehen, um diese mit den
gemachten Angaben zu vergleichen:</p>
<li>Vorname, Mittelnamen, Familienname und Suffix</li>
<p>Beim Eintragen der Assurance werden zusammen mit der Assurer
Referenznummer noch nachfolgende Infromationen gespeichert:</p>
<li>Datum der Assurance</li>
<li>Ort der Assurance</li>
<li>Anzahl der vergebenen Punkte</li>
<section id="de.p5">
<h2>5. Newsletter</h2>
<p>CAcert bietet die Möglichkeit, sich Über Informationen zu
CAcert, Termine und Veranstaltungen per Newsletter zu informieren.
Welche Informationen, Termine und Veranstaltungen Sie empfangen,
kann bei der Registrierung ausgewählt und unter "Meine
Benachrichtigungen" jederzeit geändert werden.</p>
<section id="de.p6">
<h2>6. Cookies</h2>
<p>"Cookies" sind kleine Dateien, die es ermöglichen, auf einem
PC oder sonstigem Endgerät spezifische, auf den Nutzer
zugeschnittene Informationen zu speichern, während die
CAcert-Dienste genutzt werden. Cookies helfen zum Beispiel dabei,
die Sicherheit zu erhöhen.</p>
<p>Die CAcert-Dienste benutzen nach der Anmeldung (mit
E-Mail-Adresse und Passwort oder Zertifikat) sogenannte
"Session-Cookies", mit denen während der Dauer eines Besuchs der
Besucher identifiziert werden kann. Nach dem Ende der Sitzung
verfallen Session-Cookies automatisch.</p>
<p>Das Speichern von Cookies kann im Browser deaktiviert, auf
bestimmte Websites beschränkt werden oder der Browser Über das
Setzen eines Cookies informieren. Cookies können jederzeit von der
Festplatte eines PC oder dem Speichermedium eines anderen
Endgeräts gelöscht werden. Die Nutzung der CAcert-Dienste ist
eingeschränkt, wenn Session-Cookies abgelehnt werden.</p>
<p>Bei der Nutzung von CAcert-Applikationen, die ganz oder
teilweise auch von Dritten angeboten werden können, können
gegebenenfalls auch Cookies durch Drittanbieter gespeichert
werden. Um das Setzen dieser Cookies zu unterbinden, kann der
Internetbrowser Cookies von Drittanbietern verweigern.</p>
<section id="de.p7">
<h2>7. Logdateien</h2>
<p>Bei jedem Seitenaufruf werden Zugriffsdaten in einer
Protokolldatei, dem Serverlog, gespeichert. Der dabei gespeicherte
Datensatz wird fÜr maximal sechs Monate gespeichert und enthält
die folgenden Daten:</p>
<li>die IP-Adresse, das Datum und die Uhrzeit, den Status,
die Anfrage, die ein Browser an den Server gestellt hat und die
Übertragene Datenmenge, sowie</li>
<li>die Produkt- und Versionsinformationen des verwendeten
Browsers (User-Agent).</li>
<p>CAcert benutzt hierfÜr das standardisierte "combined"
Logfile-Format des Apache Webservers.</p>
<p>CAcert verwendet die Protokolldaten (Logs) anonymisiert, also
ohne Zuordnung oder Hinweise auf einzelne Personen, fÜr
statistische Auswertungen. CAcert kann so z. B. erfahren, an
welchen Tagen und zu welchen Uhrzeiten die Angebote der
CAcert-Websites besonders beliebt sind und wie viel Datenvolumen
auf den CAcert-Websites erzeugt wird. Zudem kann CAcert durch die
Logdateien mögliche Fehler erkennen, z. B. fehlerhafte Links oder
Programmfehler, und die Logdateien damit fÜr die Weiterentwicklung
der CAcert-Websites verwenden. CAcert verknÜpft die im Server-Log
gespeicherten Seitenabrufe und Nutzungen nicht mit einzelnen
Personen. CAcert behält sich eine Nutzung von Daten aus Logdateien
vor, wenn aufgrund bestimmter Tatsachen der Verdacht besteht, dass
Nutzer die CAcert-Websites und/oder die CAcert-Dienste gesetz-
oder vertragswidrig nutzen. Dies dient sowohl dem Schutz der
CAcert-Mitglieder, der Sicherheit der CAcert-Mitgliederdaten, als
auch den CAcert-Websites und den CAcert-Diensten. Logdateien
können nur von CAcerts Systemadministratoren eingesehen und
analysiert werden oder durch den Schiedspruch eines Arbitrators.</p>
<section id="de.p8">
<h2>8. Minderjährige und sonstige nicht
selbstvertretungsberechtige Personen</h2>
<p>Eltern oder Aufsichtsberechtigte sind fÜr den Schutz der
Privatsphäre ihrer Kinder oder Betreuten verantwortlich.</p>
<section id="de.p9">
<h2>9. Abrufbarkeit der Datenschutzbestimmungen</h2>
<p>Diese Datenschutzbestimmungen von jeder Seite der
CAcert-Websites unter dem Link "Datenschutz" abrufen und
ausgedruckt werden.</p>