Vertrag Auftragsdatenverarbeitung (ADV / ADVV)
Aktuelle Fassung | Beschreibung | Historische Fassungen |
Vertrag Auftragsdatenverarbeitung | Vertrag für Auftragsdatenverarbeitung gemäß Art. 28 DSGVO für Endkunden inkl. Anhang 1 (ausfüllbar) | v1.3 vom 01.03.2023 v1.2 vom 15.12.2020 v1.1 vom 27.11.2019 v1.0 vom 11.05.2018 |
Anhang 2 - TOM | Anhang 2 zum Vertrag für Auftragsdatenverarbeitung Technische und organisatorische Maßnahmen | v1.2 vom 15.12.2020 v1.1 vom 27.11.2019 v1.0 vom 11.05.2018 |
Informationen zur DSGVO
Datenschutz ist unverändert das Thema der Stunde. Mehrere Skandalfälle im Umgang mit personenbezogenen Daten und das Inkrafttreten der EU Datenschutz Grundverordnung (kurz: DSGVO) am 25. Mai 2018 haben dieses wichtige Thema dauerhaft ins kollektive Bewusstsein gerückt.
Die DSGVO ist seit 25. Mai 2018 in Kraft. Sie hat als EU Verordnung direkte Gültigkeit in allen EU Mitgliedsstaaten. In der Regel bestand und besteht bei der Umsetzung dieser Verordnung bei allen Unternehmen und auch vielen Vereinen Handlungsbedarf. Auf dieser Seite möchten wir als Ihr Domain-Registrar und Hosting Provider, einen kurzen Überblick zu DSGVO-relevanten Aspekten geben. Diese Informationsseite wird regelmäßig überarbeitet, erweitert und ergänzt.
Beim Datenschutz geht es grundsätzlich darum, die Kontrolle über eigene Daten zu haben. Die DSGVO stellt dabei künftig sicher, dass Privatpersonen Kontrolle und Informationen darüber haben, wie ihre persönlichen Daten verarbeitet und veröffentlicht werden.
Für uns zählte und zählt Datenschutz zu den wichtigsten Aufgaben. Dies gilt sowohl für uns als Unternehmen im sorgsamen Umgang mit den Daten unserer Kunden, als auch in unserer Rolle als möglicher Verarbeiter von Daten im Auftrag unserer Kunden, kurz als sogenannter Auftragsdatenverarbeiter. Datenübermittlungen an externe "Dienstleister", Profiling und Ähnliches waren für uns stets tabu.
Die Einhaltung der DSGVO stellte und stellt meist dennoch für alle Beteiligten eine Herausforderung dar. Die DSGVO sollte jedoch dennoch maßgeblich dazu beitragen, private Daten von Internetnutzern vor Missbrauch zu schützen und das allgemeine Niveau an IT Sicherheit zu heben, nachdem den Datenschutzbehörden nun wirksame (abschreckende) Strafmöglichkeiten zur Verfügung stehen. Die DSGVO wird die Datenverarbeitung im Allgemeinen bereichern, da sie diese einschränkt und klare Sicherheitskonzepte samt Evaluierung und laufende Verbesserung fordert. Für Nutzer ("Betroffene") ist es nun einfacher möglich, sich ein Bild von Art und Umfang der Verarbeitung ihrer persönlichen Daten zu machen und auch gegen falsche oder illegale Verarbeitung vorzugehen.
Die nachfolgenden Aussagen haben ausschließlich informellen Charakter und stellen keine Rechtsberatung dar.
Wissenswertes zu unseren Dienstleistungen
Für Websitebetreiber stellen sich im Rahmen der DSGVO diverse Fragen. Dieser Abschnitt enthält umfangreiche Informationen zu den Themen Verbindungs-Sicherheit, Standort der Datenspeicherung, Zuverlässigkeit, Backups und Software-Versionen und gibt Website-Betreiber so die nötigen Antworten.
Verbindungssicherheit durch SSL/TLS-Verschlüsselung
Die Nutzung von https ist für alle Websites empfehlenswert. Sobald eine Übermittlung von Daten erfolgt (z.B. über ein Kontaktformular) ist die Verwendung im Hinblick auf die Konformität mit der DSGVO beinahe zwingend geboten. SSL/TLS-Verschlüsselung ist im Rahmen der DSGVO zwar nicht wörtlich gefordert, ohne lässt sich eine "sichere Datenübertragung" in der Praxis allerdings nicht realisieren.
Die über das Domaintechnik-Control Panel verfügbare kostenfreie Let's Encrypt Verschlüsselung ist hierfür technisch ausreichend. Let's Encrypt lässt sich über das Control Panel mit wenigen Klicks aktivieren. Bei Aktivierung von Let's Encrypt wird automatisch eine Weiterleitung aller http-Zugriffe auf https:// aktiv. Diese Weiterleitung kann bei Bedarf auch in den Domain-Einstellungen deaktiviert werden. Dies ist jedoch nicht empfehlenswert, da unsere Server auf die rasche Auslieferung von https-Inhalten optimiert sind und http daher keine nennenswerten Vorteile mehr aufweist.
Standort der Datenspeicherung
Unsere Server befinden sich ausschließlich in Wien. Eine Übermittlung an Cloud-Dienste, externe Dienstleister, externe Standorte oder Ähnliches fand und findet nicht statt.
Ein physischer Zutritt zu unseren Systemen ist nur ausgewählten Mitarbeitern möglich. Am Datencenter-Standort gelten die strengsten Sicherheitsvorschriften (Videoüberwachung, mehrköpfiges, bewaffnetes Wachpersonal, Zutritt durch mehrstufige Sicherheitsschleuse, etc.). Ein Zutritt von Fremdtechnikern (z.B. in Schadensfällen) ist nur unter Beisein und Aufsicht unserer Mitarbeiter und grundsätzlich nur im Offlinezustand (keinerlei Zugriffsmöglichkeit auf Daten) möglich.
Zuverlässigkeit und Backups
Die von der DSGVO geforderte Zuverlässigkeit von Datenverarbeitungssystemen ist bei allen unseren Webhosting-Angeboten grundsätzlich gegeben. Unsere Systeme sind redundant aufgebaut. Zusätzlich werden alle Daten in Echtzeit auf baugleiche Systeme gespiegelt.
Sicherungen von Website-, Datenbank- und E-Mail-Daten werden einmal täglich erstellt und für zumindest sieben Tage gespeichert. Je nach Speicherverfügbarkeit werden Daten für bis zu 180 Tage vorgehalten. Die redundanten und verschlüsselten Backup-Speicher werden jeweils auf gespiegelte Storage-Systeme dupliziert. Die Verfügbarkeit eines Backups ist also unter nahezu allen Umständen gewährleistet.
Unsere Backup-Systeme stellen die aktuelle Evolutionsstufe unserer Entwicklung in diesem Bereich dar. Sie sind das Resultat aus mehr als 20 Jahren Praxisbetrieb und werden auch in Zukunft weiter verfeinert und ausgebaut. Wir konnten in den vergangenen 20 Jahren jeden Wunsch nach einem Backup aus den vergangenen sieben Tagen grundsätzlich befriedigen.
Software-Versionen und Updates
Unsere Webserver befinden sich ausnahmslos am aktuellsten Versionsstand. Es besteht allerdings die Möglichkeit, auch alte Software (z.B. PHP4-Skripte) zu betreiben. Nicht mehr gepflegte Software-Versionen bleiben auf unseren Servern auch in Zukunft verfügbar. Der Einsatz erfolgt dabei, wie auch in der Vergangenheit, auf eigene Gefahr des Website-Betreibers.
Der Vollständigkeit halber sei jedoch ausdrücklich erwähnt, dass eine DSGVO-konforme Verarbeitung von Daten grundsätzlich nur gegeben sein kann, wenn ausschließlich noch gewartete Software-Versionen zum Einsatz kommen. Dies betrifft die verwendete Datenbanktechnologie, Skriptsprachen und am Webspace installierte Software gleichermaßen.
Sofern im Rahmen Ihres Onlineangebots personenbezogene Daten erfasst oder bearbeitet werden, sollten Sie prüfen, ob dabei aktuelle Datenbanktechnologie (MySQL min. 5.5, besser 5.7), Skriptsprachen (PHP min 5.6, besser 7.0) und Anwendungsversionen (z.B. min. Typo3 7.6LTS, besser 8.7LTS) verwendet wird. Wenn dies nicht gegeben ist, sollte eine Aktualisierung vor dem 25.05.2018 umgesetzt werden.
Eine Prüfung, ob bestimmte Software-Versionen noch gewartet werden (Support Status), ist in unserer Übersicht der Softwareversionen möglich.
Logging
Um unseren Kunden die Einholung einer Einwilligung in die Erfassung, Speicherung und Verarbeitung von jedem Website-Besucher zu ersparen, werden keine vollständigen IP-Adressen aufgezeichnet. Das letzte Oktett wird nicht erfasst. Anstatt der vollständigen IP-Adresse (z.B. 192.168.0.77) wird nur ein Teil (z.B. 192.168.0.0) protokolliert. Dies gewährleistet, dass es sich bei der verbleibenden Rumpf-IP-Adresse um keine personenbezogenen Daten handelt und daher keine Behandlung im Sinne der DSGVO (Einholung einer Zustimmung des Betroffenen - in diesem Fall des Website-Besuchers) erforderlich ist.
Die Log-Aufzeichnungen sind dem Verantwortlichen per FTP und über den Dateimanager des Control Panels für die Dauer der Speicherung zugänglich. Aufbewahrt werden die Log-Aufzeichnungen des laufenden Monats und des Vormonats. Diese Speicherdauer von maximal 62 Tagen hat sich in der Praxis im Hinblick auf unerwünschte Vorgänge (wie z.B. Denial of Service Angriffe, BruteForce-Login-Versuche, Malware-Vorfälle, etc.) als erforderliches Mindestmaß der Aufbewahrungsfrist erwiesen.
Datenbank-Zugriffe von externen Systemen
Zugriffe auf unsere Datenbank-Server waren in der Vergangenheit auch von externen Systemen aus möglich. Dies ist nun nur noch aus unserem Netzwerk möglich. Für Zugriffe von anderen Gegenstellen gibt es im Datenbank-Manager des Control Panels die Möglichkeit, bestimmte IP-Adressen für Fernzugriffe freizuschalten.
Zugriff auf E-Mails
Nachdem die Übermittlung von personenbezogenen Daten oder gar sensiblen Daten per E-Mail in der Praxis nicht ausgeschlossen werden kann, ist ein Zugriff auf Mailboxen via POP3 und IMAP seit 24.05.2018 nur noch SSL/TLS-verschlüsselt möglich. Die Möglichkeit des unverschlüsselten Zugriffs entfiel ersatzlos.
Weitere Informationen zu den technischen und organisatorischen Maßnahmen können Sie dem Anhang 2 unseres Vertrags für die Auftragsdatenverarbeitung entnehmen.
Cookie-Verwendung und Newsletter-Versand
Die Behandlung von Cookies und der Versand von Newslettern zum Zweck der Online-Direktwerbung wird in der sogenannten ePrivacy-Verordnung ebenfalls neu geregelt. Diese EU-Verordnung verzögert sich jedoch, wodurch bis auf Weiteres die nationalen Gesetze gelten: Bis die neue Verordnung in Kraft tritt, gilt in Österreich für die Verwendung von Cookies und den Newsletterversand das Telekommunikationsgesetzes (TKG). Ausführliche Informationen zur aktuellen Rechtslage, speziell aus dem Blickwinkel der DSGVO, finden Sie auf den Seiten der Österreichischen Wirtschaftskammer:
Verwendung von Cookies
Versand von E-Mails
Änderungen durch die DSGVO bei Domains
Deutliche Reduktion der im WHOIS-Dienst verfügbaren Informationen.
Aktualisierte Registrierungsbestimmungen als Basis dieser Verbesserung.
Die von unserem Whois-Server zur Verfügung gestellten Kontaktdaten beinhalten Daten von Domains generischer Domain-Endungen. Bei .com und .net Domains werden Kontaktdaten dabei ausschließlich bei uns erfasst und gemäß den Registrierungsrichtlinien veröffentlicht. Um die Anforderungen der DSGVO zu erfüllen, wurde die Veröffentlichung von Kontaktdaten im Whois mit 25.05.2018 bei unserem Whois-Server drastisch reduziert. Es werden nun neben technischen Informationen nur noch der Firmenname (sofern gesetzt), das Bundesland und das Land des Domaininhabers angezeigt. Für Auskunftsinteressen Dritter ist anstatt von E-Mail-Adressen, nun nur mehr ein Verweis auf unser Kontaktformular für Anfragen zu Domain-Kontaktdaten angeführt. Allfällige Anfragen werden an den Domaininhaber oder dessen Admin-C weitergeleitet. Eine Herausgabe von Daten ohne Freigabe des Domaininhabers ist bis auf Weiteres nicht vorgesehen. Dieses Whois-Modell wurde seitens ICANN als temporäre Lösung beschlossen und wird in den kommenden Monaten neuerlich ersetzt. Der Datenschutz wird dabei weiterhin im Fokus stehen.
Hinsichtlich der Datenübermittlung zum Zweck der Vertragserfüllung kommt es zu keinen Änderungen. Dies ist in den temporären Regeln und dem vorangegangenen Proposed Interim Compliance Model ausführlich erläutert.
Bei den diversen Länder-Domain-Endungen zeichnet sich eine nahezu einheitliche Vorgehensweise ab: Die Kontaktdaten werden zur Vertragserfüllung weiterhin erfasst, jedoch künftig nicht mehr oder nur noch sehr eingeschränkt veröffentlicht. Entsprechende Maßnahmen und Änderungen wurden bei nahezu allen Registrierstellen aus der EU zum 25.05.2018 ergriffen. Bei manchen Domain-Endungen (z.B. .de-Domains) wird die endgültige Umsetzung erst im Laufe des Jahres erfolgen. Bei .at-Domains wurde im Zuge der DSGVO-Umsetzung auch der Umfang der erhobenen Kontaktdaten reduziert. Der Admin-Kontakt wurde abgeschafft. Bei .at-Domains und diversen weiteren Domainendungen europäischer Länder wurden die im WHOIS ersichtlichen Informationen auf ein technisch erforderliches Mindestmaß (Status-/Nameserverinformationen und Kontaktinformationen des zuständigen Registrars) reduziert.
Die Registrierungsbestimmungen nahezu aller Domain-Endungen wurden von deren Registry-Betreibern im Zuge des Inkrafttretens der DSGVO überarbeitet. Bei manchen Domain-Endungen befinden sich diese Änderungen noch in Bearbeitung. Infolgedessen ist auch der Anhang 1 unserer Allgemeinen Geschäftsbedingungen, welcher sich mit den Bestimmungen der zahlreichen von uns angebotenen Domain-Endungen befasst, aktuell laufend Änderungen unterworfen. Da alle diese Änderungen für unsere Kunden und die betroffenen Domain-Inhaber ausschließlich begünstigend sind, wurden hierzu keine Informations-Aussendungen an Domaininhaber vorgenommen.