Datenschutzerklärung

für den IT-Monitoring-Dienst «MonitoringHub Switzerland»

1. Anbieter und Verantwortlicher

MonitoringHub GmbH
Mettlenstrasse 4
8488 Turbenthal

E-Mail: datenschutz@monitoringhub.net
Website: https://monitoringhub.net

2. Geltungsbereich

Diese Datenschutzerklärung gilt für alle Datenbearbeitungen im Zusammenhang mit dem IT-Monitoring-Dienst «MonitoringHub Switzerland», dem zugehörigen Partner-Portal (app.monitoringhub.net), den Monitoring-Dashboards und dem Monitoring-Agent.

Sie richtet sich an Partner (IT-Dienstleister), deren Endkunden und Besucher der Website.

3. Zweck

Die Bearbeitung von Personendaten erfolgt insbesondere für folgende Zwecke:

  • Vertragserfüllung: Bearbeitung zur Anbahnung und Durchführung des Vertrages mit dem Partner, um den IT-Monitoring-Dienst erbringen zu können.
  • Überwiegende Interessen: Bearbeitung zur Gewährleistung der Sicherheit und Stabilität des Dienstes sowie zur Wahrung der Interessen.
  • Gesetzliche Pflichten: Aufbewahrung von Abrechnungsdaten gemäss handelsrechtlichen Vorschriften.
  • Einwilligung: Sofern eine solche erteilt wurde, z.B. für den Versand von Informationen zum Dienst.

4. Erhobene Daten

4.1 Technische Monitoring-Daten (Metriken)

Der Monitoring-Agent erhebt ausschliesslich technische Leistungsdaten der überwachten Systeme, insbesondere:

MetrikBeschreibung
CPU-AuslastungProzessornutzung in Prozent
RAM-NutzungArbeitsspeicher belegt/frei in Prozent
Festplatten-BelegungSpeicherplatz belegt/frei pro Laufwerk
Netzwerk-TrafficDatenvolumen ein-/ausgehend (keine Inhalte)
Dienste-StatusLäuft ein Dienst oder nicht (z.B. Webserver, Datenbank)
UptimeWie lange ist das System online
System-LoadGesamtlast des Systems
Hostname / IP-AdresseIdentifikation des überwachten Systems
BetriebssystemTyp und Version (z.B. Ubuntu 24.04, Windows Server 2022)
Event-Log ZählerAnzahl Fehler/Warnungen (KEINE Inhalte der Logeinträge)

Diese Daten sind vergleichbar mit dem Tachometer und der Tankanzeige eines Autos – sie zeigen den Zustand des Systems, nicht was darin gespeichert ist.

4.2 Portal-Daten (Registrierung und Nutzung)

Bei der Registrierung als Partner und der Nutzung des Portals werden insbesondere folgende Daten erhoben:

  • Firmenname, Kontaktperson, E-Mail-Adresse
  • Adresse (für Rechnungsstellung)
  • Zugangsdaten (Benutzername, gehashtes Passwort)
  • IP-Adresse und Zeitstempel bei Login (Sicherheitslog)
  • Nutzungsdaten des Portals (aufgerufene Seiten, durchgeführte Aktionen)

4.3 Daten, die NICHT erhoben werden

Wir erklären verbindlich, dass der Monitoring-Agent folgende Daten weder erhebt, überträgt noch speichert:

KategorieWas wir NICHT sehen
Dateien & DokumenteKein Zugriff auf Dateien, Ordner, Dokumente, Bilder, PDFs
E-MailsKein Zugriff auf E-Mail-Inhalte, Anhänge oder Postfächer
DatenbankenKein Zugriff auf Datenbankinhalte, Abfragen oder Datensätze
PasswörterKein Zugriff auf Passwörter, Schlüssel oder Zugangsdaten
BenutzeraktivitätenKein Tracking von Benutzerverhalten, Browserverlauf oder Eingaben
NetzwerkinhalteKein Sniffing, keine Deep Packet Inspection, keine Paketinhalte
Screenshots / BildschirmKein Zugriff auf Bildschirminhalte
Remote-ZugriffWir können NICHT auf Systeme zugreifen; der Agent sendet nur nach aussen

5. Hosting und Serverstandort

Hosting-AnbieterINFOMANIAK NETWORK AG, Genf
ServerstandortSchweiz (ausschliesslich)
Datentransfer ins AuslandNein; alle Daten verbleiben in der Schweiz
Zertifizierung InfomaniakISO 27001:2022 und weitere Zertifizierungen
RechtsgrundlagenBundesgesetz über den Datenschutz (DSG) und weiteres anwendbares Datenschutzrecht

6. Verschlüsselung und Sicherheitsmassnahmen

6.1 Transportverschlüsselung

Sämtliche Datenübertragungen zwischen dem Monitoring-Agent und dem Server erfolgen mit AES-256 via TLS 1.2/1.3. Es handelt sich um den gleichen Verschlüsselungsstandard, den auch Schweizer Banken und die Bundesverwaltung verwenden.

6.2 Authentifizierung

Zusätzlich zur Transportverschlüsselung wird jede Verbindung mit einem individuellen 512-bit Pre-Shared Key (PSK) authentifiziert. Jeder Partner erhält seinen eigenen, einzigartigen Schlüssel. Kein Partner kann Daten eines anderen Partners einsehen.

6.3 Weitere Sicherheitsmassnahmen

  • Passwort-Hashing für Portal-Zugangsdaten
  • Strikte Multi-Tenant-Datentrennung
  • Automatische PSK-Überwachung und Rücksetzung bei Manipulation
  • Regelmässige Sicherheitsupdates der Infrastruktur
  • Zugriffskontrolle: Partner sieht nur eigene Hosts und Daten

7. Aufbewahrung und Löschung

  • Monitoring-Daten (Metriken): 90 Tage, danach automatische und unwiderrufliche Löschung
  • Portal-Daten (Registrierung): Für die Dauer des Vertragsverhältnisses, danach gemäss handelsrechtlichen Aufbewahrungspflichten (max. 10 Jahre für Abrechnungsdaten)
  • Sicherheitslogs: 30 Tage, danach automatische Löschung
  • Bei Vertragsende: Vollständige Löschung aller Monitoring-Daten innert 30 Tagen. Abrechnungsdaten gemäss gesetzlicher Aufbewahrungspflicht.

8. Weitergabe an Dritte

Personendaten werden grundsätzlich nicht an Dritte weitergegeben. Ausnahmen bestehen ausschliesslich für:

  • INFOMANIAK NETWORK AG (Hosting): Als Auftragsbearbeiterin für das Hosting der Infrastruktur. Sitz: Genf, Schweiz.
  • Behörden: Auf Anordnung schweizerischer Gerichte oder Behörden, soweit gesetzlich vorgeschrieben.

Weitere Auftragsbearbeiter werden nur mit vorheriger Zustimmung des Partners eingesetzt. Eine Bekanntgabe von Personendaten ins Ausland findet nicht statt.

9. Auftragsbearbeitung

Im Verhältnis zum Partner handelt der Anbieter als Auftragsbearbeiter. Das bedeutet:

  • Der Anbieter bearbeitet Personendaten ausschliesslich im Auftrag und nach Weisung des Partners.
  • Der Anbieter gewährleistet eine dem Risiko angemessene Datensicherheit mit geeigneten technischen und organisatorischen Massnahmen.
  • Unterauftragsbearbeiter (aktuell: INFOMANIAK NETWORK AG) werden nur mit Genehmigung des Partners eingesetzt.

10. Technische Architektur: Kein Zugriff auf Ihre Systeme

Der Monitoring-Agent arbeitet nach dem Prinzip «Outbound-only»:

  • Agent sendet NUR nach aussen: Wir können keine Befehle an Ihre Systeme senden.
  • Keine Inbound-Verbindung nötig: Sie müssen keinen Port für uns öffnen.
  • Agent ist Open Source (Zabbix): Der Quellcode ist öffentlich prüfbar unter https://www.zabbix.com.
  • Agent läuft mit minimalen Rechten: Kein Root-/Admin-Zugriff auf Ihre Daten.
  • Jederzeit deinstallierbar: Ein Befehl entfernt den Monitoring-Agent komplett und rückstandslos.

11. Rechte der betroffenen Personen

Betroffene Personen haben insbesondere folgende Rechte:

11.1 Auskunftsrecht

Sie können jederzeit und grundsätzlich kostenlos Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten. Die Auskunft wird in der Regel innert 30 Tagen erteilt.

11.2 Berichtigungsrecht

Sie können die Berichtigung unrichtiger Personendaten verlangen.

11.3 Löschungsrecht

Sie können die Löschung Ihrer Personendaten verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht und die Daten für den Vertragszweck nicht mehr erforderlich sind.

11.4 Datenportabilität

Sie können grundsätzlich die Herausgabe Ihrer Personendaten in einem gängigen elektronischen Format verlangen.

11.5 Widerspruchsrecht

Sie können der Bearbeitung Ihrer Personendaten jederzeit widersprechen. In diesem Fall prüfen wir, ob die Bearbeitung aufgrund überwiegender Interessen dennoch gerechtfertigt ist oder eingestellt werden muss.

Anfragen richten Sie bitte an: datenschutz@monitoringhub.net

12. Datensicherheitsverletzungen

Im Falle einer Verletzung der Datensicherheit, die voraussichtlich ein hohes Risiko für die betroffenen Personen mit sich bringt, wird der Anbieter:

  • Den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren.
  • Den betroffenen Partner unverzüglich benachrichtigen.
  • Wenn nötig auch die betroffenen Personen direkt informieren.

13. Privacy by Design und Privacy by Default

Der Anbieter beachtet die Grundsätze des Datenschutzes durch Technik (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default):

  • Der Monitoring-Agent erhebt von Anbeginn nur die minimal notwendigen technischen Metriken.
  • Keine überflüssigen Daten werden erfasst (Datensparsamkeit).
  • Datentrennung zwischen Partnern ist technisch erzwungen, nicht nur organisatorisch.
  • Verschlüsselung ist standardmässig aktiviert und kann nicht deaktiviert werden.

14. Verzeichnis der Bearbeitungstätigkeiten

Der Anbieter führt ein Verzeichnis der Bearbeitungstätigkeiten. Dieses umfasst insbesondere folgende Angaben:

  • Identität des Verantwortlichen (Anbieter bzw. MonitoringHub GmbH)
  • Bearbeitungszweck (IT-Monitoring-Dienst)
  • Kategorien betroffener Personen (Partner, Endkunden)
  • Kategorien bearbeiteter Daten (Metriken, Portal-Daten)
  • Empfänger (Infomaniak AG als Auftragsbearbeiter)
  • Aufbewahrungsdauer (90 Tage Metriken, Vertragsdauer Portal)
  • Technische und organisatorische Massnahmen (Verschlüsselung, Datentrennung, Zugriffskontrolle)

Das Verzeichnis wird dem EDÖB auf Anfrage zur Verfügung gestellt.

15. Cookies und Website-Tracking

Das Partner-Portal (app.monitoringhub.net) verwendet ausschliesslich technisch notwendige Session-Cookies für den Login-Vorgang. Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt.

16. Aufsichtsbehörde

Zuständige Aufsichtsbehörde ist der:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern
https://www.edoeb.admin.ch

Betroffene Personen können sich jederzeit an den EDÖB wenden.

17. Änderungen dieser Erklärung

Der Anbieter behält sich vor, diese Datenschutzerklärung jederzeit anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder technische Änderungen am Dienst anzugleichen.