Azure AD Application Proxy: Funktionsweise, Installation des Connectors und Vergleich mit klassischen Reverse Proxys

Der Azure Active Directory-Anwendungsproxy ermöglicht das Veröffentlichen von unternehmensinternen Anwendungen im Internet, so dass Remotemitarbeiter sicher auf sie zugreifen können. Im Vergleich mit anderen Lösungen ist er sehr kompakt aufgebaut, dafür umso einfacher einzurichten und in Betrieb zu nehmen. Nicht zuletzt ist Azure AD Application Proxy quasi kostenlos, da Bestandteil der Azure AD Subscription.

In diesem Artikel zeigen wir die allgemeine Funktionsweise und richten einen Connector ein, der zum Betrieb notwendig ist. Dabei interessiert uns im Besonderen, wie sich der Azure AD Application Proxy im Vergleich mit klassischem Load Balancing schlägt und wo er idealerweise eingesetzt wird.

Azure AD Application Proxy im Vergleich mit klassischem Load Balancing

Microsoft bietet uns mit dem Azure AD Application Proxy eine besonders kompakte und einfach zu administrierende Möglichkeit unternehmensinterne Webseiten und WebApps den Mitarbeitern zur Verfügung zu stellen, ohne dass dafür eine Inbound-Verbindung hergestellt werden muss. Die Kommunikation des Clients geschieht ausschließlich mit dem Application Proxy Service, der wiederum vom Connector aus dem Firmennetzwerk heraus kontaktiert wird und die Webseiten bzw. WebApps über den Application Proxy Service an den Client ausliefert. Dabei bleibt dem Client die wahre Zieladresse des angesprochenen Webservers verborgen.

Reverse Proxys, wie der Azure AD Application Proxy, funktionieren anders als klassisches Load Balancing, dienen aber ebenfalls dazu dem Nutzer von Außerhalb Zugriff auf firmeninterne Rechner zu ermöglich, allerdings ohne dafür die Firewall konfigurieren zu müssen, weil es sich um eine Outbound-Verbindung handelt. Da der Client von außen keinen direkten Zugriff auf die firmeninternen Server hat, sondern lediglich mit dem Proxy spricht, sorgt der Reverse Proxy für erhöhte Sicherheit, weil er sie quasi aus der Schusslinie nimmt.

Weitere Argumente für die Verwendung eines Reverse Proxy sind das Cachen von Inhalten. Besonders immer wieder angeforderte Inhalte, wie zum Beispiel Bilddateien, können direkt vom Proxy ausgeliefert werden, ohne die Server zu belasten. Der trotzdem noch nötige Traffic kann vom Reverse Proxy auf die Server verteilt werden. Nicht zuletzt kann er sich dem SSO annehmen. Auch SSL verschlüsselte Verbindungen können beschleunigt werden, da sich der Reverse Proxy um die Verschlüsselung kümmern kann. All dies entlastet die Webserver beträchtlich.

Der Nachteil von Azure AD Application Proxy im direkten Vergleich mit klassischem Load Balancing dürfte sicher sein, dass man auf das Load Balancing deutlich weniger, bis gar keinen Einfluss nehmen kann. Zudem beherrschen Load Balancer deutlich mehr Protokolle, als nur HTTP. Schließlich findet das klassische Load Balancing auf den OSI-Schichten 3 bis 7 statt, wohingegen ein Reverse Proxy ausschließlich das HTTP-Protokoll benutzt. Wobei man hier nicht unerwähnt lassen darf, dass es auch verschiedene hybride Lösungen auf dem Markt gibt. Nicht zuletzt schließen sich ein Reverse Proxy und Loud Balancing nicht gegenseitig aus.

Voraussetzungen für Azure AD Application Proxy:

  • Basic- oder Premium-Abonnement für Microsoft Azure AD, sowie ein Azure AD-Verzeichnis, für das man als globaler Admin agiert.
  • Windows Server 2012 R2 oder höher, auf dem der Anwendungsproxy-Connector installiert werden soll. Dieser Server muss eine Verbindung zum Anwendungsproxydienst in der Cloud und zu den unternehmensinternen Anwendungen herstellen können.
  • Ausgehende Ports 80 und 443 in der Firewall müssen offen sein.
  • Um die Zertifikate überprüfen zu können, muss der Zugriff auf folgende vier URLs möglich sein: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 und www.microsoft.com:80
  • Um den Connector zu registrieren müssen zusätzlich die beiden Adressen login.windows.net und login.microsoftonline.com erreichbar sein.

Traffic Flow:

  1. Der User greift auf die Anwendung über den Application Proxy Service zu und wird zur Azure AD Anmeldeseite geleitet ums sich zu authentifizieren. (Möglich sind SSO mit Corporate Device; SSO für interne Anwender, alle Azure AD Authentifizierungsmethoden, wie Föderation mit ADFS oder Passthrough etc…)
  2. Nach erfolgreicher Anmeldung wird ein Token generiert und zum Client Device geschickt.
  3. Der Client schickt den Token zum Application Proxy Service, der sich den User Principal Name (UPN) und den Security Principal Name (SPN) vom Token ausliest, um daraufhin die Anfrage an den Application Proxy Connector zu leiten.
  4. Bei konfiguriertem Single-Sign-On kümmert sich der Connector um die weiteren für den User nötigen Authentifizierungen.
  5. Der Connector sendet die Anfrage zur On-Prem-Application.
  6. Die Antwort wird über den Application Proxy Service und den Connector zum User geschickt.

Vorteile

Simpel:

Einfache Integration, meist keine Änderungen an den Apps nötig.

Automatisches Scaling des Application Proxy Service; die Connectoren müssen händisch hinzugefügt werden.

Sicher:

Authentifizierung und Authentifizierung beim AAD inkl. dessen Analytics.

Keine Inbound Firewall.

„Remote as a Service“

  • Cloud Methoden zum Identity Schutz sowie DDOS-Schutz.

Client Cert Outbound Connection vom Connector zum Azure AD.

Günstig:

Insofern man bereits AAD benutzt.

Nachteile:

Wenige Optimierungsmöglichkeiten (Cache, FEO, Rewrite … der Anwendung)

Unklares Load Balancing, wenn sich mehrere Server hinter dem Connector befinden.

Siehe: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-application-proxy-wildcard

Kein URL-Filterung (Blacklisting von speziellen Pfaden, zum Beispiel generellen Zugriff auf app01.domain.de erlauben, aber nicht auf alles unterhalb, wie app01.domain.de/geheim).

 

Unterschied zwischen Frontend- und Backend-Authentication

 

Frontend:

  • Alle AAD Methoden (inkl. Conditional Access und MFA) wie Passthrough, Föderation usw. werden unterstützt.

Backend:

  • Kerberos Constrained Delegation (KCD).
  • Header based: Benötigt 3rd Party Tool PingAccess (und zugehörige Lizenzen, 20 Anwendungen frei für Azure Premium-Kunden), welches die Token vom AAD in Header umwandeln kann (vergleichbar mit dem Basic Authorization Header).
  • Password Vaulting (Für Apps, die nur form based können): Einmalige Anmeldung per Hand, woraufhin die Credentials im AAD gespeichert werden können und ein Browser PlugIn diese künftig zum SSO verwenden kann.
  • Oder auf Wunsch auch kein SSO.

Kurzer Exkurs zu Kerberos Constrained Delegation (KCD)

  1. Der User verwendet die URL um die On-premises Anwendung über den Application Proxy aufzurufen.
  2. Der Application Proxy leitet die Anfrage zum Azure AD Authentication Service zur Präauthentifizierung weiter. Zu diesem Zeitpunkt wendet Azure AD alle anwendbaren Authentifizierungs- und Autorisierungsrichtlinien an, wie zum Beispiel die Multifaktor-Authentifizierung. Wurde der User erfolgreich validiert, erzeugt Azure AD einen Token und schickt ihn zum User.
  3. Der User übergibt den Token an den Application Proxy.
  4. Der Application Proxy bestätigt den Token und holt sich den User Principal Name (UPN) und sendet daraufhin die Anfrage, den UPN und den Service Principal Name (SPN) an den Connector über einen doppelt authentifizierten (client certificate authentication), sicheren Kanal.
  5. Der Connector stößt eine Kerberos Constrained Delegation (KCD) Aushandlung mit dem On-premises AD an, der sich als Benutzer ausgibt, um ein Kerberos-Token an die Anwendung zu übergeben.
  6. Active Directory sendet den Kerberos Token für die Anwendung an den Connector.
  7. Der Connector sendet die Original-Anfrage zum Application-Server und benutzt dazu den vom AD empfangenen Kerberos Token.

Die Anwendung schickt ihre Antwort an den Connector, welche zum Application Proxy Service und schließlich zum User zurückgeschickt wird.

Wie geht man mit internen URLs um?

Den Managed Browser nutzen: Diese Lösung ergibt nur Sinn, wenn man Usern den Zugriff auf die Anwendung über den Intune Managed Browser empfiehlt oder verlangt.

Die MyApps-Erweiterung nutzen: Diese Lösung setzt voraus, dass eine Browser-Erweiterung auf dem Client installiert wurde. Diese ist für praktisch alle populären Browser erhältlich und sie kann alle published URLs verarbeiten.

Das Link Translation Setting nutzen: Dabei handelt es sich um eine Einstellung auf der Seite des Admins, die für den User unsichtbar ist. Damit kann man HTML und CSS-URLs verarbeiten. Hard-coded interne URLS, zum Beispiel von einem Javascript erzeugt, funktionieren nicht.

Connector Einrichten und On-premises Application publishen:

Im folgenden Tutorial zeigen wir wie einfach es ist einen Connector zu installieren und mit dem Azure AD Application Proxy eine Web-App zu publishen. Ziel ist es, den Connector zu installieren, eine interne WebApp zu konfigurieren, KCD vorzubereiten und die AAD Enterprise App mit dem Application Proxy zu publishen, inkl. KCD SSO.

Zuallererst installieren wir den Connector auf unserem Zielserver. Dazu melden wir uns im Azure Portal an, wo wir ihn downloaden können. Die Installation selbst geht praktisch vollautomatisch vor sich, ohne dass eine besondere Interaktion unsererseits nötig wäre.

Als nächstes legen wir auf unserem Domain Controller einen neuen Service Account an.

Nun wenden wir uns dem Server zu, auf dem wir den IIS installieren. Dabei darauf achten, dass wir die Windows Authentication mitinstallieren, die per default nicht ausgewählt ist. Sobald dies geschehen ist, setzen wir die Identity des Application Pools im IIS Manager auf den Service Account.

In diesem Prozess setzen wir die useAppPoolCredentials auf true, was wir entweder in der GUI erledigen können:

Oder in der Shell. Diese im Administrator-Modus starten und ins Verzeichnis c:\windows\system32\inetsrv wechseln für den Befehl:

Als nächsten Schritt setzen wir den Service Principal Name (SPN) mit den Befehlen

und

Alternativ lässt sich der SPN natürlich auch in der GUI mit dem ADSI-Editor auf dem Domain-Controller setzen:

Nun gilt es auf dem Server, auf dem der Connector läuft, dem SPN die Delegation zu erlauben:

Mit diesem Tool können wir überprüfen, ob der Connector den Anwendungsproxydienst erreicht: https://aadap-portcheck.connectorporttest.msappproxy.net/

Zusätzlich vergewissern wir uns, dass die beiden Dienste „Microsoft AAD Application Proxy Connector“ und „Microsoft AAD Application Proxy Connector Updater“ laufen.

Jetzt melden wir uns am Azure Portal als Administrator an um eine On-premises Application zu publishen:

Wir geben die Daten des internen Web-Servers ein. Dazu gehören die interne URL, mit der man innerhalb des Unternehmensnetzwerks auf die Anwendung zugreifen kann. Daraus generiert wird auch automatisch die externe URL. Unter Präauthentication geben wir das gewünschte Verfahren an, wie der Anwendungsproxy die Benutzer überprüfen soll, bevor diese Zugriff auf die Application erhalten. In unserem Fall wählen wir das Azure Active Directory (AAD). Zuletzt geben wir noch die gewünschte Connectorgruppe an, die wir vorerst auf Default belassen. Möglich ist auch Passthrough zu wählen, wenn sich die Nutzer nicht am AAD authentifizieren sollen. In diesem Fall empfehlen sich weitere Authentifizierungsverfahren am Back-End.

Berechtigen einen User für die App:

Und nehmen die SSO-Einstellungen vor. Hierbei genau auf Groß- und Kleinschreibung achten, die Eingabe ist case sensitive!

Haben wir keinen Fehler gemacht, meldet sich der Web-Server und wir haben unsere erste On-premises Web-App veröffentlicht:

Leave a Reply

Your email address will not be published. Required fields are marked *

 

Unser Verhaltenskodex

Partnerschaft, Zuverlässigkeit, Integrität, Offenheit und Nachhaltigkeit sind zentrale Werte unserer Unternehmenskultur. Als Unternehmen steht es für uns im Vordergrund, im täglichen Geschäftsleben fair und ethisch korrekt zu arbeiten und bestehende Gesetze einzuhalten. Gleiches erwarten wir auch von unseren Kunden, Beratern, Lieferanten und Dienstleistern. Unsere Richtlinien und Prinzipien haben wir aus diesem Grund in unserem Verhaltenskodex festgelegt.

Datenschutzerklärung

Datenschutzkonzept

1 - Rahmenbedingungen der Verarbeitung

Wer ist verantwortliche Stelle?

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

  • Provectus Technologies GmbH
  • Leopoldstr. 250b, 80807 München, Deutschland
  • info@provectus.de
  • +49 (89) 7104092 0
  • Geschäftsführer: Christian Jupe, Josef Lang

Name und Anschrift des Datenschutzbeauftragten

  • Datenschutzbeauftragter der Provectus Technologies GmbH
  • c/o activeMind AG
  • Potsdamer Str. 3, 80802 München, Deutschland
  • datenschutz@provectus.de

Datenerhebung und -verarbeitung bei Aufruf unserer Webseite

Zweck und Rechtsgrundlage: Bei der bloß informatorischen Nutzung unserer Website, d.h. wenn Sie nicht das Kontaktformular nutzen oder uns auf andere Weise Informationen übermitteln, erheben wir folgende Daten, die Ihr Browser an unseren Server übermittelt (sog. "Server-Logfiles")

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Daten
  • Übertragene Datenmenge
  • Meldung, ob der Abruf erfolgreich war
  • Erkennungsdaten des verwendeten Browser- und Betriebssystems
  • Webseite, von der aus der Zugriff erfolgt
  • Name Ihres Internet-Zugangs-Providers

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Erhaltung der Stabilität und Funktionalität unserer Website.

Speicherdauer: Die erhobenen Daten werden nach Abschluss Ihrer Session gelöscht.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsfähigkeit unserer Website nicht gewährleistet.

Kontaktformular

Zweck und Rechtsgrundlage: Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert.

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage unseres berechtigten Interesses (Art 6 Abs. 1 lit. f DSGVO).

Durch Bereitstellung des Kontaktformulars möchten wir Ihnen eine unkomplizierte Kontaktaufnahme ermöglichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie für mögliche Anschlussfragen gespeichert.

Speicherdauer: Ihre Daten werden nach Bearbeitung Ihrer Anfrage gelöscht, sofern die vorvertragliche Phase endet und kein vertragliches Verhältnis entsteht. Gesetzliche Aufbewahrungsfristen und berechtigte Interessen bleiben unberührt.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Ohne Ihre Kontaktinformationen ist Kommunikation jedoch nicht möglich.

Kommentarfunktion

Zweck und Rechtsgrundlage: Die von Ihnen eingegebenen Daten werden zum Zweck des Kundenaustauschs gespeichert.

Die Verarbeitung der eingegebenen Daten erfolgt auf der Grundlage Ihrer Einwilligung, die Sie mittels Kommentarbereitstellung erteilen (Art 6 Abs. 1 lit. a DSGVO).

Speicherdauer: Ihre Daten werden bis zum Widerruf Ihrer Einwilligung gespeichert.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben und rein freiwillig.

Cookies

Wie viele andere Webseiten verwenden wir auch so genannte "Cookies". Cookies sind kleine Textdateien, die von einem Webseitenserver auf Ihre Festplatte übertragen werden. Hierdurch erhalten wir automatisch bestimmte Daten wie z. B. IP-Adresse, verwendeter Browser, Betriebssystem über Ihren Computer und Ihre Verbindung zum Internet.

Cookies können nicht verwendet werden, um Programme zu starten oder Viren auf einen Computer zu übertragen. Anhand der in Cookies enthaltenen Informationen können wir Ihnen die Navigation erleichtern und die korrekte Anzeige unserer Webseiten ermöglichen.

In keinem Fall werden die von uns erfassten Daten an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.

Natürlich können Sie unsere Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind regelmäßig so eingestellt, dass sie Cookies akzeptieren. Sie können die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte verwenden Sie die Hilfefunktionen Ihres Internetbrowsers, um zu erfahren, wie Sie diese Einstellungen ändern können. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.

Zweck und Rechtsgrundlage: Die Internetseiten setzen zum Teil so genannte Cookies ein.

Cookies, die zur Durchführung des elektronischen Kommunikationsvorgangs oder zur Bereitstellung bestimmter, von Ihnen gewünschter Funktionen erforderlich sind, werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung von Cookies zur fehlerlosen und optimierten Bereitstellung seiner Webseite. Insofern andere Cookies (z.B. Cookies zur Analyse Ihres Surfverhaltens) gespeichert werden, werden diese in dieser Datenschutzerklärung gesondert behandelt.

Speicherdauer: Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs automatisch gelöscht. Andere Cookies bleiben auf Ihrem Endgerät gespeichert bis Sie diese löschen. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website allerdings eingeschränkt sein.

Google Analytics

Zweck und Rechtsgrundlage: Auf unserer Website kommen sog. Tracking-, bzw. Webanalyse-Tools zum Einsatz. Mit Hilfe der Webanalyse erhalten wir Informationen über Besucherverhalten auf unserer Website, z.B. zur Herkunft der Besucher, aufgerufenen Inhalten oder zur Verweildauer. Anhand dieser Informationen können wir Schwachstellen der Website herausfinden und deren Effizienz verbessern.

Rechtsgrundlage für diese Verarbeitungen ist Ihre Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.

Hinweise zur Verarbeitung Ihrer Nutzungsdaten und Opt-out bezüglich Google Analytics: Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google”). Google Analytics verwendet sog. „Cookies”, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Grundsätzlich werden auf unserer Webseite IP-Adressen durch Google mittels Kürzung automatisch anonymisiert. Nur in Ausnahmefällen werden IP-Adressen an Server von Google in den USA übertragen und dort durch Kürzung anonymisiert. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das verfügbare Browser-Plugin herunterladen und installieren: Browser Add-On zur Deaktivierung von Google Analytics.

Empfänger der Daten: Der Anbieter Google Analytics verarbeitet in unserem Auftrag die Zugriffsdaten zum Zwecke der Nutzeranalyse und statistischen Aufbereitung. Hierfür haben wir mit dem Anbieter einen entsprechenden Auftragsverarbeitungsvertrag abgeschlossen.

Speicherdauer: Cookies werden entweder nur für die Session oder bis zu zwei Jahre auf Ihrem Endgerät gespeichert. Sie können Cookies mittels Ihren Browsereinstellungen entfernen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website allerdings eingeschränkt sein.

Drittlandtransfer: Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir dürfen nur Daten an Dienstleister in einem Drittland übermitteln, sofern geeignete Garantien vorgesehen sind (Standarddatenschutzklauseln, die von der Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Widerruf der Einwilligung: Der Widerruf kann mittels Opt-out bezüglich Google Analytics vollzogen werden. Rufen Sie hierzu die "Cookie Info" erneut auf (ganz untern am Ende dieser Website) und deaktivieren Sie das Kontrollkästchen "Cookie für anonymisiertes Tracking". Alternativ dazu können Sie uns kontaktieren um Hilfestellung zu erhalten.

Profiling: Mit Hilfe der Tracking-Tools können das Verhalten der Besucher der Webseite bewertet und die Interessen analysiert werden. Hierzu erstellen wir ein pseudonymes Nutzerprofil.

Einbindung von Google Maps

Diese Webseite verwendet Google Maps API um geographische Informationen visuell darzustellen. Bei der Nutzung von Google Maps werden von Google auch Daten über die Nutzung der Kartenfunktionen durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch Google können Sie den Google-Datenschutzhinweisen entnehmen. Dort können Sie im Datenschutzcenter auch Ihre persönlichen Datenschutz-Einstellungen verändern.

Wenn Sie in Ihrem Google-Konto eingeloggt sind, ermöglichen Sie Google Maps, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Google-Account ausloggen. Mit der Nutzung von Google Maps akzeptieren Sie die Google Maps-Nutzungsbedingungen. Sie können eine Löschung der durch Google erhobenen Daten und andere Datenschutz-Einstellungen in Ihrem Google-Konto vornehmen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der erhobenen Daten sowie deren Nutzung durch Google Maps erhalten.

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google Maps unter: https://policies.google.com/privacy?hl=de

Social Media

Diese Webseite verwendet Facebook-, Twitter-, Xing-, und LinkedIn-Links, um Ihnen den Besuch unserer Firmenseiten zu ermöglichen. Bei der Weiterleitung auf entsprechende Social Media Seiten werden Daten über die Nutzung durch Besucher erhoben, verarbeitet und genutzt. Nähere Informationen über die Datenverarbeitung durch die Anbieter können Sie folgenden Datenschutzhinweisen entnehmen:

Wir weisen darauf hin, dass wir keine Kenntnis von der Datenverarbeitung durch die sozialen Netzwerke haben.

Google reCAPTCHA

Zweck und Rechtsgrundlage: Zur Wahrung der Datensicherheit bei der Übermittlung von Formularen, verwenden wir den Service reCAPTCHA des Unternehmens Google Inc. Der Einsatz ermöglicht die Unterscheidung, ob eine Eingabe durch natürliche Personen erfolgt oder unautorisiert durch maschinelle und automatisierte Mittel. Ihre IP-Adresse wird auf Grundlage des berechtigten Interesses der Aufrechterhaltung unseres Online-Angebots gemäß Art. 6 Abs. 1 lit. f DSGVO gespeichert und von Google Inc. verarbeitet.

Empfänger der Daten: Google Inc. wird als unser Auftragsverarbeiter tätig.

Speicherdauer: Die Speicherdauer richtet sich nach den von Google eingerichteten Fristen. Die durch Google reCAPTCHA platzierten Cookies auf Ihrem Computer können eine Laufzeit von bis zu vier Jahren haben. Deshalb raten wir Ihnen regelmäßig Cookies in Ihrem Browser zu entfernen. Mehr Informationen zu Google’s Umgang mit Ihren Daten finden Sie unter https://policies.google.com/privacy?hl=de.

Drittlandtransfer: Die erzeugten Informationen inklusive Ihrer IP-Adresse werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir dürfen nur Daten an Dienstleister in einem Drittland übermitteln, sofern geeignete Garantien vorgesehen sind (z.B. Standarddatenschutzklauseln, die von der Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Bereitstellung vorgeschrieben oder erforderlich: Die Bereitstellung der vorgenannten personenbezogenen Daten ist erforderlich um vorvertragliche und vertragliche Maßnahmen einzuleiten. Anderenfalls werden wir Ihr Ersuchen ablehnen.

2 - Betroffenenrechte und Beschwerde und Widerspruch


Betroffenenrechte

Jede betroffene Person hat das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Widerspruch aus Art. 21 DSGVO sowie das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO.

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG.

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

Beschwerde

Darüber hinaus besteht ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG). Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

Einzelfallbezogenes Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund Art. 6 Abs. 1 lit. f DSGVO (Datenverarbeitung auf der Grundlage einer Interessenabwägung) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Empfänger eines Widerspruchs

Der Widerspruch kann formfrei mit dem Betreff „Widerspruch“ unter Angabe Ihres Namens, Ihrer Adresse und Ihres Geburtsdatums erfolgen und sollte gerichtet werden an:

  • Provectus Technologies GmbH
  • Leopoldstr. 250b, 80807 München, Deutschland
  • info@provectus.de
  • +49 (89) 7104092 0
  • Geschäftsführer: Christian Jupe, Josef Lang

Änderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an unseren Datenschutzbeauftragten:

  • c/o activeMind AG
  • Potsdamer Str. 3, 80802 München, Deutschland
  • datenschutz@provectus.de

Quellen Nachweis

Auf der Webseite verwendete Bilder:
Wenn nicht folgend aufgeführt, wurden Bilder von Unsplash genutzt -> Lizenz

iStockphoto Standard Lizenz:
Titel Bild: MünchenAlpen (184102635)

Icons:
Font Awesome