DS-GVO betrifft so gut wie jeden

  • Nach DS-GVO soll es dann ja auch möglich sein, eine ADV (wirksam) elektronisch abzuschließen (kein „enges“ Schriftformerfordernis mehr).


    Kann die neue Vorlage-ADV also auch inkl. Unterschrift per E-Mail als PDF-Scan gesendet werden, woraufhin netcup einen PDF-Scan mit Gegenunterschrift zurücksendet?


    Ein anderer Provider hat bereits ein vollständig elektronisches Verfahren für ADV angekündigt und es ist natürlich zu begrüßen, dass mit der DS-GVO sich die gesetzlichen Anforderungen von der Steinzeit verabschieden und sich dem digitalen Alltag öffnen.


    Auf der Wiki-Seite lese ich noch...

    Quote

    Wichtig: Wenn Sie den frankierten Rückumschlag nicht beilegen, senden wir Ihnen die Zusatzvereinbarung zur Auftragsverarbeitung als gescanntes PDF zurück. Es ist davon auszugehen, dass diese Form nicht den Ansprüchen unseres Gesetzgebers genügt.

  • Guten Tag,

    Quote

    Kann die neue Vorlage-ADV also auch inkl. Unterschrift per E-Mail als PDF-Scan gesendet werden, woraufhin netcup einen PDF-Scan mit Gegenunterschrift zurücksendet?


    in dem Fall müssten wir für das Drucken der Dokumente eine Pauschale berechnen. Sicherlich lässt sich hier eine Möglichkeit finden. Bitte wenden Sie sich dazu an unseren Support.



    Mit freundlichen Grüßen


    Felix Preuß

  • Hallo,

    Frage dazu:

    Auf dem von mir gebuchten Webspace laufen mehrere Seiten von Vereinen.

    Muss ich für jeden Verein einzeln die ADV-Vorlage ausfüllen und an netcup senden oder muss ich das einmalig in meinem Namen machen und dann muss ich mit dem Verein das wieder einzeln bestätigen?

    Danke.

  • Hallo,

    Frage dazu:

    Auf dem von mir gebuchten Webspace laufen mehrere Seiten von Vereinen.

    Muss ich für jeden Verein einzeln die ADV-Vorlage ausfüllen und an netcup senden oder muss ich das einmalig in meinem Namen machen und dann muss ich mit dem Verein das wieder einzeln bestätigen?

    Danke.

    Wenn du für die Vereine der Provider bist (=du bist der Webhoster für den Verein), dann ist eine AV-Kette aufzubauen: Deine Kunden (= die Vereine) jeweils mit dir und du einmal mit netcup.

    Verwaltest du als Art Dienstleister für die Vereine die Webseiten, diese sind aber rechtlich Kunden direkt von netcup, hat jeder Verein ggf. mit netcup einen AV-Vertrag zu schließen und ggf. mit dir zusätzlich, sofern du bei deinen Tätigkeiten mit entsprechenden Daten arbeitest / in Kontakt kommst.


    Allgemein wird zwischen zwei Rechtsentitäten nur ein AV-Vertrag für alle Beziehungen geschlossen (so zumindest die mir bekannte Praxis).


    Keine Rechtsberatung, lediglich meine Interpretation der EU-DSGVO-Vorgaben.

  • Hallo Miteinander,


    ich hab eine bescheidene Frage in die Runde. Nehmen wir einmal an, ein Interessent schickt über das Kontaktformular der Internetseite eine Anfrage, diese wird ja meistens an eine Mailadresse gesendet. Nach dieser Anfrage kommt kein Geschäft zustande, somit müssten alle personenbezogenen Daten gelöscht werden. Da aber auch die revisionssichere Mailarchivierung Pflicht ist, wurde auch diese Mail aus dem Kontaktformular gesichert und kann nicht gelöscht werden. Das ist jetzt doch irgendwie eine Zwickmühle oder sehe ich das falsch?


    VG Fisi

  • Hallo Miteinander,


    ich hab eine bescheidene Frage in die Runde. Nehmen wir einmal an, ein Interessent schickt über das Kontaktformular der Internetseite eine Anfrage, diese wird ja meistens an eine Mailadresse gesendet. Nach dieser Anfrage kommt kein Geschäft zustande, somit müssten alle personenbezogenen Daten gelöscht werden. Da aber auch die revisionssichere Mailarchivierung Pflicht ist, wurde auch diese Mail aus dem Kontaktformular gesichert und kann nicht gelöscht werden. Das ist jetzt doch irgendwie eine Zwickmühle oder sehe ich das falsch?


    VG Fisi

    Du hast des Rätsels Lösung ja schon genannt. Gibt es eine Norm, die dich verpflichtet (und/oder es dir erlaubt) ("Erlaubnisnorm") die Daten zu speichern, kannst/darfst/musst du sie speichern.


    In deinen Datenschutzbestimmungen hast du ja für jedes Datum, das du erhebst, anzugeben welche Erlaubnisnorm dafür "zuständig" ist. Da verweist du dann entsprechend für die Kontaktformular-Daten auf die entsprechende Erlaubnisnorm.


    Sidefact: Ob man für ein Kontaktformular die Felder "Vorname" und "Nachname" zwingend braucht ist mEn übrigens zumindest fragwürdig.




    Interessanter wird es, wenn jemand in das Kontaktformular anfängt seine sexuelle Orientierung (besonders schützenswertes Datum) o.ä. einzutragen. Dann verarbeite ich diese Information ohne sie jemals erheben zu wollen. Da fängt es an für mich abstrus zu werden:

    Nehmen wir an zur Verbesserung der Service-Qualität führe ich eine Statistik welche Begriffe in der Suche meiner Webseite eingegeben werden. Jetzt gibt dort jemand aus Jux seinen Vornamen, Nachnamen, E-Mail und Anschrift in das Suchfeld ein. Verarbeite ich dann seine persönliche Daten? Nach meinem Verständnis ja und ich wäre sogar noch auskunftspflichtig, dass ich diese Daten speichere... (Was sehr schwer ist / nur manuell möglich, weil ich die Daten ja nicht mit ihm verknüpft habe). Schöne neue Welt

  • Ich habe soeben hier eine Seite gefunden, die für ca. 30 verschiedene, übliche Anwendungsfälle beispielhaft erläutert welche Daten man erhebt / Angaben man im Verarbeitungsverzeichnis / Datenschutzerklärung machen kann:

    https://www.datenschutz-guru.d…taetigkeiten/entry/12615/

    Hallo Timo,
    vielen dank für den Link, werde mir die Seite gleich ansehen.

    Aktuell bereitet mir das Thema wirklich Sorgen. Ab wann braucht man eurer Meinung einen Datenschutzbeauftragten? Ich war mir eigentlich ziemlich sicher, ab 10 Mitarbeitern, die mit personenbezogenen Daten zu Tun haben oder wenn man "besondere personenbezogene Daten" verarbeitet.Jetzt hab ich allerdings gelesen dass es die Warscheinlichkeit sehr hoch ist, dass auch IT Unternehmen einen Datenschutzbeauftragten benötigen, hier bin ich mir mittlerweile nicht mehr so wirklich sicher.

    Vor allem, wenn ich hier einen Server miete und darauf meine Kunden hoste, weiß ich ja nicht, welche Daten Sie auf dem Server speichern. Gehen wir jetzt von einem Arzt aus, den ich als Kunden habe. Wenn dieser Gesundheitsdaten per Mail verschickt, was ist dann? Ich persönich verarbeite keine Gesundheitsdaten, aber mein Kunde, brauch ich dann einen Datenschutzbeauftragten oder nicht??


    Mir ist klar, dass das hier keine Rechtsberatung ist, aber oft helfen einfach mehrere Gedankenanstöße.

  • Das ist grundsätzlich korrekt.


    In den AV-Verträgen, die deine Kunden mit dir schließen wollen, geben sie ja an, welche Art Daten sie bei dir verarbeiten wollen. Und wenn sie dort angeben, "besonders schützenswerte Daten" verarbeiten zu wollen, dann verarbeitest du per Definition auf jeden Fall auch solche besonders schützenswerte Daten und benötigst einen Datenschutzbeauftragten (und all deine AV-Verträge mit "Zulieferern" wie netcup müssen das auch beinhalten). Mein AV-Vertrag mit netcup beinhaltet keine Art von "besonders schützenswerten Daten".


    Ich hab für mich entschieden, keine AV-Verträge für "besonders Schützenswerte Daten" mit meinen Kunden zu schließen (kann mich ja keiner Zwingen); den entsprechenden Kunden muss ich dann ggf. den Laufpass geben.


    Ich habe auch schon gesagt: Im Prinzip ist das Alles eine Aufforderung an kleine Internetunternehmer, ihre Hosting-Sparte einzustellen.

  • Ich hab für mich entschieden, keine AV-Verträge für "besonders Schützenswerte Daten" mit meinen Kunden zu schließen (kann mich ja keiner Zwingen); den entsprechenden Kunden muss ich dann ggf. den Laufpass geben.

    Das ist natürlich eine Möglichkeit!


    Ich denke da kann nur ein Anwalt helfen, da das ganze Thema doch sehr Speziell ist.

  • Ich habe auch schon gesagt: Im Prinzip ist das Alles eine Aufforderung an kleine Internetunternehmer, ihre Hosting-Sparte einzustellen.

    Da hast du wohl recht, wobei ganz schwarz sehen darf man auch noch nicht.


    Ich bin gespannt wie Reseller reagieren, es gibt ja genügend Provider die ein Resellerhosting anbieten. Das ist ja unterm Strich nichts anderes. Viele Agenturen verdienen sich mit Webhosting noch etwas dazu.

  • Wenn man irgendeine Plattform betreibt, auf der Nutzer Profilbilder hochladen können, erfasst man dann damit "Daten, aus denen die rassische oder ethnische Herkunft hervorgeht?"

    Da hab ich auch was darüber gefunden, eventuell hilft es dir ja. :)


    Aber auch das ist keine Rechtsberatung meinerseits.

  • Ich denke so werde ich das auch handhaben. Ich habe mein Hostingangebot schon stark reduziert. Aktuell haben die meisten nur Kontaktformulare usw. (SSL mittels LE ist vorhanden).

    Die Frage die ich mir hier stellen muss ist wohl, was verarbeite ich an Daten von meinen Kunden? In Webserver Logs werden die IPs anonymisiert. Muss ich das bei den Mailserver Logs berücksichtigen? In wie weit muss ich für Verschlüsselung des Mail Stores sorgen oder muss ich den Kunden darauf hinweisen, das er personenbezogene Daten per Mail nicht oder nur verschlüsselt versenden darf?

    Das wird noch ein langer Weg bis die AV Verträge für das Hosting fertig sind. Dazu darf ich auch noch darauf warten, das ein anderer Kunde um die Ecke kommt, wo "nur" IT Support durchgeführt wird. So kann man den kleinen Leuten auch das leben schwer machen.

  • ...ich seh schon, ich werde meine Angebote auch noch massiv überdenken müssen, wobei, beim Blog und der Fotogallery könnte ich als "Erstmaßnahme" sämtliche Kommentarfunktionen abschalten. Die IPs in den Weblogs werden auch bei mir keinem User zugeordnet. Beim Mailserver wird die Nummer etwas komplizierter...

    Verschlüsselte Postfächer hab ich eh vor. Die Logs müsste ich da noch auf dem Schirm behalten, danke für den Tipp!

    Das Schöne in meiner Situation: aktuell bin ich quasi mein eigener Kunde. Das blöde: ich lasse andere den Maildienst mitbenutzen. Da die aber aktuell nix dafür zahlen, könnte ich von jetzt auf gleich den Dienst auch einstellen (ggf vorübergehend).

  • Bei Mail sollte man ggf. mit einem ADV "einigermaßen auf der sicheren Seite sein". Logfiles vom Mailserver muss man kontrollieren, inwieweit diese betroffen sind. Man könnte jetzt natürlich sagen, das man so auch das Mailverhalten der Personen kontrollieren kann (auch mittels IPs ein Bewegungsprofil erstellen) aber es greifen hier doch nur die Kunden selber zu. ich finde hierzu auch irgendwie nix.

    Bei den Logfiles generell muss ich halt das ganze nachträglich durchführen (da wo es gemacht werden muss), da bei Diensten wie IMAP usw. auch fail2ban zum Einsatz kommt.