DS-GVO betrifft so gut wie jeden

  • Was mir bisher nicht so bewusst war: Jeder Betreiber einer nicht ausschließlich familiär/persönlichen Webseite unterliegt der DS-GVO. Nachdem die IP-Adresse inzwischen als personenbezogenes Datum gilt, erfolgt eine Verarbeitung personenbezogener Daten bereits dann, wenn ein Client die Domain aufruft.


    Logischerweise erfordert dies einen Vertrag zur Auftragsverarbeitung mit netcup, da im Falle von Webhosting/vServer/Rootserver personenbezogene Daten bei netcup verarbeitet werden. Gibt es dazu irgendwelche Infos von Seiten netcups? Schließlich ist ja auch der Auftragnehmer nach der DS-GVO wesentlich stärker bei den Pflichten eingebunden.

  • Zitat

    ist nicht neu

    In dem anderen Beitrag geht es um die Auftragsdatenverarbeitung nach § 11 BDSG alt, ab Mai gilt jedoch die Auftragsverarbeitung nach § 62 BDSG neu/Artikel 28 DS-GVO. Diese neue Regelung überträgt auch wesentliche Pflichten auf den Auftragnehmer (netcup), weil Betroffene nun über die Aufsichtsbehörden auch den Auftragnehmer in die Mangel nehmen können. Das war vorher nicht so.


    Darüber hinaus muss jeder Webseitenbetreiber wesentlich mehr Informationen in der Datenschutzerklärung bereithalten, als es derzeit der Fall ist. Ich denke, dass das vielen Leuten nicht klar ist.

  • Wollte ich auch schon fragen. Demnächst muss ich meine Verträge hinsichtlich Auftragsdatenverarbeitung überarbeiten und würde gerne einen entsprechenden Vertrag mit Netcup schließen, sofern er an die neue Gesetzeslage angepasst wird.

  • Logischerweise erfordert dies einen Vertrag zur Auftragsverarbeitung mit netcup, da im Falle von Webhosting/vServer/Rootserver personenbezogene Daten bei netcup verarbeitet werden.

    Wenn ich meinen Server kündige sollte, können dennoch Pakete an dessen IP-Adresse geschickt werden und Verbindungsversuche erfolgen. Also erhält Netcup die IP-Adresse des Angreifers bzw. Aufrufers auch ohne mich und ohne Vertrag.


    @Alle Datenverarbeitungsauftraggeber:

    Auch Telefonnummern und Postanschriften sind personenbezogene Daten. Habt ihr auch Verträge mit euren Telekommunikationsanbietern und allen Postunternehmen?

  • Wenn ich meinen Server kündige sollte, können dennoch Pakete an dessen IP-Adresse geschickt werden und Verbindungsversuche erfolgen. Also erhält Netcup die IP-Adresse des Angreifers bzw. Aufrufers auch ohne mich und ohne Vertrag.

    Ich verstehe deinen Einwand (?) nicht ganz. Das wäre so wie: Wenn ich mein Auto verkaufe, kann der nachfolgende Eigentümer ohne mich damit Verkehrsverstöße begehen. Das ändert aber nichts daran, dass du vorher dafür verantwortlich bist.


    Genauso ist es beim Server. Das betrifft natürlich nicht nur Webserver, sondern auch Mailserver und jede andere Art von Server, es sei denn, die Datenverarbeitung von dir als Verantwortlicher erfolgt ausschließlich im Rahmen von persönlichen oder familiären Tätigkeiten.

    Beispiel: Person A speichert Kontaktdaten von seinem Freundeskreis und Familie in Nextcloud, das bei netcup auf einem vServer gehostet wird. Hierbei muss Person A die Datenschutzgesetze nicht beachten.


    Da nun bis zu 20 Millionen Euro Bußgeld bzw. 4 % vom weltweit erzielten Umsatz im vorherigen Geschäftsjahr eines Unternehmens (je nachdem, was höher ist) vorgesehen sind (war vorher max. 50000 €), würde ich da lieber nichts riskieren wollen.

  • Guten Morgen


    Logischerweise erfordert dies einen Vertrag zur Auftragsverarbeitung mit netcup, da im Falle von Webhosting/vServer/Rootserver personenbezogene Daten bei netcup verarbeitet werden.

    Ich kann hier deiner Logik nicht folgen, warum dies in diesem Fall einen Vertrag zur Auftragsdatenverarbeitung bei netcup erfordern muss. Die Datenhoheit liegt doch bei Dir und nicht bei netcup.


    Im Falle eines einfachen Webhostings kann dies auf das (technische) protokollieren reduziert werden. Und hier genügt es IMHO den Nutzer über die Nutzung der Daten zu informieren und die Daten nach einer angemessenen Frist zu löschen.


    Wenn Nutzerdaten gespeichert werden, z.b. für einen EMail-Adresse für Newsletter, musst du den Nutzer informieren, für einen entsprechenden Schutz sorgen, die Löschbarkeit regeln und im Falle dass die Daten abhanden kommen fristgerecht informieren.


    Für netcup sehe ich die Pflicht mit den Daten ihrer Kunden entsprechend umzugehen. Sollten also im schlimmste Falle unsere Daten abhanden kommen sind davon nicht nur die netcup Kunden betroffen sondern in Folge auch unsere Kunden, da wir die Datensicherheit nicht mehr gewährleisten können.

  • Guten Morgen,



    das Thema DS-GVO ist eine gelungene Gelddruckmaschine für Rechtsanwälte und Beratungsunternehmen. Selbst Medien wie Heise und Golem schlagen daraus Profit. Ziel ist es, alle zu verunsichern. Da hat mal Lobbyarbeit wieder richtig gut geklappt!


    Das tolle für Deutschland: Wir hatten bislang strengere Regeln was den Datenschutz angeht als alle anderen EU-Staaten. Für uns wird einiges durch die DS-GVO einfacher werden. Das sagt einem bloß niemand, der mit der DS-GVO noch richtig abzocken möchte.


    Wir werden recht zeitnah unseren Entwurf zur Vereinbarung zur Auftragsdatenverarbeitung in aktualisierter Form unseren Kunden anbieten. Diese kann uns dann ausgefüllt und unterschrieben mit Rückporto zugestellt werden. Wir zeichnen diese dann gegen und senden sie zurück.


    Unser Datenschutzbeauftragter ist erreichbar unter datenschutz@netcup.de .


    Ich kann nur nochmals dazu raten sich nicht in Panik versetzen zu lassen und auf keinen Fall auf überteuerte Pauschalangebot von Rechtsanwälten hereinzufallen. Gute Anlaufstellen zu dem Thema sind die Bitkom, der eco (hier ist netcup auch Mitglied) und natürlich der Rechtsanwalt des Vertrauens.


    Mit freundlichen Grüßen


    Felix Preuß

  • Ich kann hier deiner Logik nicht folgen, warum dies in diesem Fall einen Vertrag zur Auftragsdatenverarbeitung bei netcup erfordern muss. Die Datenhoheit liegt doch bei Dir und nicht bei netcup.

    Das ist auch nicht meine Logik, sondern entweder bereits im BDSG-alt geregelt, Ansicht von Rechtsanwälten oder ziemlich eindeutig in der DS-GVO/BDSG-neu.


    Gerade bezüglich Webhosting hat das BayLDA schon im Tätigkeitsbericht 2015/2016 festgestellt, dass das Webhosting im Zusammenhang mit personenbezogenen Daten einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG erfordert (https://www.lda.bayern.de/media/baylda_report_07.pdf, ab Seite 39, Punkt 5.2). Zu beachten ist hier, dass erst seit 2017 EuGH/BGH bereits dynamische IP-Adressen als personenbezogen ansehen. Das konnte also in dem Bericht nicht berücksichtigt werden.


    Allerdings steht dazu in der iX 1/2018 ab Seite 40 ausführlich, welche neuen Herausforderungen auf Webseitenbetreiber zukommen. Darunter auch, dass ein Vertrag zur Auftragsverarbeitung aufgrund der IP-Adressen mit dem Hostinganbieter notwendig ist, weil diese personenbezogenen Daten bei einem anderen Unternehmen gespeichert werden (bspw. bei netcup).


    Im Falle eines einfachen Webhostings kann dies auf das (technische) protokollieren reduziert werden. Und hier genügt es IMHO den Nutzer über die Nutzung der Daten zu informieren und die Daten nach einer angemessenen Frist zu löschen.


    Wenn Nutzerdaten gespeichert werden, z.b. für einen EMail-Adresse für Newsletter, musst du den Nutzer informieren, für einen entsprechenden Schutz sorgen, die Löschbarkeit regeln und im Falle dass die Daten abhanden kommen fristgerecht informieren.

    Laut DS-GVO (Artikel 13) müssen dem Betroffenen weitere Informationen bereitgestellt werden, als nur die, die man derzeit noch in gängigen Datenschutzerklärungen findet. Beispielsweise muss diese nun auch Kontaktdaten des Verantwortlichen, die Rechtsgrundlage(n) der Verarbeitung und sämtliche Rechte des Betroffenen enthalten.

    Ich kann nur nochmals dazu raten sich nicht in Panik versetzen zu lassen und auf keinen Fall auf überteuerte Pauschalangebot von Rechtsanwälten hereinzufallen.

    Sehe ich genauso. Aufgrund der wesentlich höheren Bußgelder und der weit bekannten Abmahnwelle im Zusammenhang mit fehlendem Impressum sollte man dies aber auch nicht aus den Augen verlieren.

  • Ich hab grade am Freitag mein Ticket bei netcup wiederbelebt und nachgefragt, ob die neuen Auftragsdatenverarbeitungs-Verträge schon geschlossen werden können; oder ob diese ab Mai dann digital schließbar sind (das ist dann nämlich praktischerweise möglich).


    Der meines Erachtens nach neue Teil der DSGVO sind vor allem die umfänglichen Auskunftspflichten und, dass erstmalig im Rahmen des Datenschutzes an die Datenintegrität bzw. -sicherheit (im Sinne von safety) Bedinungen geknüpft werden. Man muss also auch Maßnahmen erläutern wie man verhindert, dass Daten durch Fehler gelöscht werden (z.B. Backups aus denen einzelne Datensätze wieder hergestellt werden können).

  • So eine Gelddruckmaschine ist diese DSGVO nun auch nicht,

    im Gegenteil, damit werden die Recht jedes einzelnen Bürgers gestärkt,

    und erstmals kann auch eine Strafe verhängt werden, vorher ist das ohnehin verpufft;


    um es klar an einigen Beispielen zu bringen


    WhatsApp:

    da im Standardfall die Android/iPhone App ungefragt das Adressbuch (die Kontakte)

    an WhatsApp schickt, ist dies nicht DSGVO-konform; wer dies so hat, ist verpflichtet

    von allen in seinem Adressbuch sich eine Einverständniserklärung zu holen;

    tut er dies nicht, haftet er auch dafür;


    Webshops:

    bis jetzt gehandhabte Praxis, bei einer Bestellung ohne

    dem 'Haken' ("ich bin mit der EDV-Verarbeitung meiner Daten einverstanden")

    nicht weiterzukommen, ist nicht mehr zulässig; man stimmt hier definitiv nicht zu,

    mit Newslettern (= SPAM) zugemüllt werden zu dürfen;

    ebenso das Abfragen von Daten die nicht gebraucht werden;

    mit anderen Worten:

    "was geht Dich meine Telephonnummer an, wenn Du mir ein Paket schickst"


    hier ein Beitrag welcher letzten Donnerstag bei mir TV lief

    http://www.ipv6help.de/files/2…341209P_22441813P_Q6A.mp4





    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Was mir bisher nicht so bewusst war: Jeder Betreiber einer nicht ausschließlich familiär/persönlichen Webseite unterliegt der DS-GVO. Nachdem die IP-Adresse inzwischen als personenbezogenes Datum gilt, erfolgt eine Verarbeitung personenbezogener Daten bereits dann, wenn ein Client die Domain aufruft.

    das ist so gesehen nicht richtig; richtig hingegen ist, daß die Generierung von nicht notwendigen Daten - z.B. AdSense und Einbindung von sonstigem Unfug - ein Verstoß der DSGVO darstellt

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hay,


    bis jetzt gehandhabte Praxis, bei einer Bestellung ohne

    dem 'Haken' ("ich bin mit der EDV-Verarbeitung meiner Daten einverstanden")

    nicht weiterzukommen, ist nicht mehr zulässig; man stimmt hier definitiv nicht zu,

    mit Newslettern (= SPAM) zugemüllt werden zu dürfen;


    es immer kritisch, auf Basis von Sendungen im Fernsehen konkrete rechtliche Schlüsse zu ziehen.

    UWG §7(3) - der auch weiterhin noch gelten wird:

    Zitat

    (3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

    1.ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
    2.der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
    3.der Kunde der Verwendung nicht widersprochen hat und
    4.der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.


    Es kollidieren also erstmal zwei Rechtsnormen. Sollten sich also mal zwei treffen, von denen beide die jeweils andere Rechtsnorm als wichtiger erachten, wird es zu einem Gerichtsprozess kommen - und in Folge wird sich erst herauskristallisieren, welche Norm den Vorzug gegenüber der anderen bekommt. In der Regel wird es nicht bei einem Urteil bleiben, es braucht mehrere, bis sich eine (unter Juristen so bezeichnete) "herrschende Meinung" bildet.


    ebenso das Abfragen von Daten die nicht gebraucht werden;

    mit anderen Worten:

    "was geht Dich meine Telephonnummer an, wenn Du mir ein Paket schickst"


    Hier ist das "nicht brauchen" zu hinterfragen, das in diesem Fall höchst relativ: Ich brauche Deine Rufnummer, weil DHL ohne Telefonnummer des Empfängers (bei Auslandssendungen) kein Label generieren kann (und ohne Label kein Versand...) um ggf. mit dem Kunden bei Schwierigkeiten Kontakt aufzunehmen. Ich bin schon häufiger von diversen Paketdiensten angerufen worden, ob sie eine Sendung zustellen dürfen oder sogar vom Zusteller direkt, der die passende Tür nicht gefunden hat.


    Wie bei allen neuen Gesetzen ist das Ganze erstmal Auslegungssache und die Gummiworte werden anschließend präzsiert durch die Rechtsprechung der nächsten Jahre.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Hallo,

    es immer kritisch, auf Basis von Sendungen im Fernsehen konkrete rechtliche Schlüsse zu ziehen.

    das tut auch keiner, meine Beispiele stammen von einem Vortrag zur DSGVO;

    nebenbei: dieses hat die höhere Priorität, nur dort wo auf nationales Recht verwiesen wird,

    kommt dieses zur Anwendung;

    es ist dies die erste Novelle, wo die EU direkt das "Gesetz" erlassen hat, und nicht wie bei den

    anderen, wie sie nur eine Richtlinie ausgesprochen hat, in dem sie die einzelnen Mitgliedsländer

    aufgefordert hat in nationales Recht umzuwandeln;


    diese DSGVO steht auf der Seite der Bürger; wie im Beitrag - falls Du gesehen hast -

    Max Schrems ja es auf den Punkt gebracht hat, biser war Datenschutz nur Placebo, mit der DSGVO hat es Wirkung;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Hier ist das "nicht brauchen" zu hinterfragen, das in diesem Fall höchst relativ: Ich brauche Deine Rufnummer, weil DHL ohne Telefonnummer des Empfängers (bei Auslandssendungen) kein Label generieren kann (und ohne Label kein Versand...) um ggf. mit dem Kunden bei Schwierigkeiten Kontakt aufzunehmen. Ich bin schon häufiger von diversen Paketdiensten angerufen worden, ob sie eine Sendung zustellen dürfen oder sogar vom Zusteller direkt, der die passende Tür nicht gefunden hat.

    ich glaube eher die ist hier nur dem Selbstzweck wegen, hier stellen sich durch die Bank alle privaten Paketzusteller derat seltsam an, das hat die Welt noch nie gesehen ...

    hier bei mir ruft keiner an, würde man von den Absendern nicht eine Tracking Nummer od. ähnliches erfahren wüßte man oft eigentlich gar nicht, daß da ein Zustellversuch gewesen ist ...,

    am liebsten wärs denen die könnten sich mit deren Blechkisten mitten in die Kreuzung stellen, und von dort jedem das Paket im Umkreis von 500 Meter direkt ins Fenster reinknallen ...:D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Es kollidieren also erstmal zwei Rechtsnormen. Sollten sich also mal zwei treffen, von denen beide die jeweils andere Rechtsnorm als wichtiger erachten, wird es zu einem Gerichtsprozess kommen - und in Folge wird sich erst herauskristallisieren, welche Norm den Vorzug gegenüber der anderen bekommt. In der Regel wird es nicht bei einem Urteil bleiben, es braucht mehrere, bis sich eine (unter Juristen so bezeichnete) "herrschende Meinung" bildet.

    Na dann hoffe ich aber mal, dass keiner unter uns ist, mit Hilfe dessen diese herrschende Meinung, in Form eines Gerichtsprozesses, gebildet wird!

    Ich bin derzeit auch in der Phase, wo ich mir Gedanken mache, wie ich meine Datenschutzerklärung ausformulieren soll, um mich möglichst abzusichern. Besonders bezüglich Logfiles und Fail2ban bin ich mir da aber noch uneins!

  • oliver.g Du sprichst gerade Fail2Ban an... Aber bei solchen Diensten oder auch ssh muss ich mir jetzt hoffentlich keine Gedanken machen, oder?


    Klar, es werden Daten gespeichert, aber wie bitte soll man das der Gegenseite vermitteln und vor allem was hat jemand auf meinem ssh-Port verloren? Ich meine damit richtet man sich ja nicht wie mit einer Website an die Öffentlichkeit in diesem Sinne. (Naja okay Port 22 ist dann so ne Sache mit der Öffentlichkeit)

  • @03simon10 nein, die haben keine Relevanz, weil damit ist der Benutzer der Website implizit einverstanden, aber der Käse, welcher durch Verlinkung mit 3rd-Party auch an diese weitergereicht wird, nicht zwingend;

    Google AdSense, AdWorlds, ... sind nach der DSGVO absolut fehl am Platz; ebenso die Geschichten mit Facebook, Twitter, wenn jemand in seiner Website integriert hat;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)