DSGVO

Informationen zur DSGVO

Datenschutz ist das Thema der Stunde. Mehrere Skandalfälle im Umgang mit personenbezogenen Daten und das unmittelbar bevorstehende Inkrafttreten der EU Datenschutz Grundverordnung (kurz: DSGVO) am 25. Mai 2018 haben dieses wichtige Thema ins kollektive Bewusstsein gerückt.

Die DSGVO tritt am 25. Mai 2018 in Kraft und hat als EU Verordnung direkte Gültigkeit in allen EU Mitgliedsstaaten. Wie Ihnen sicherlich aus der umfangreichen medialen Berichterstattung und durch Informationen diverser Geschäftspartner bekannt ist, besteht hinsichtlich der Umsetzung dieser Verordnung bei allen Unternehmen und auch vielen Vereinen Handlungsbedarf. Auf dieser Seite möchten wir Ihnen, als Ihr Domain-Registrar und Service Provider, einen kurzen Überblick zu DSGVO-relevanten Aspekten geben. Diese Informationsseite wird regelmäßig überarbeitet, erweitert und ergänzt.

Beim Datenschutz geht es grundsätzlich darum, die Kontrolle über eigene Daten zu haben. Die DSGVO stellt dabei künftig sicher, dass Privatpersonen Kontrolle und Informationen darüber haben, wie ihre persönlichen Daten verarbeitet und veröffentlicht werden.

Für uns zählte und zählt Datenschutz zu den wichtigsten Aufgaben. Dies gilt sowohl für uns als Unternehmen im sorgsamen Umgang mit den Daten unserer Kunden, als auch in unserer Rolle als möglicher Verarbeiter von Daten im Auftrag unserer Kunden, kurz als sogenannter Auftragsdatenverarbeiter. Datenübermittlungen an externe "Dienstleister", Profiling und Ähnliches waren für uns stets tabu.

Die Einhaltung der DSGVO stellt meist dennoch für alle Beteiligten eine Herausforderung dar. Sie wird jedoch sicherlich vor allem dazu beitragen, private Daten von Internetnutzern vor Missbrauch zu schützen und das allgemeine Niveau an IT Sicherheit zu heben, nachdem den Datenschutzbehörden nun wirksame (abschreckende) Strafmöglichkeiten zur Verfügung stehen. Die DSGVO wird die Datenverarbeitung im Allgemeinen bereichern, da sie diese einschränkt und klare Sicherheitskonzepte samt Evaluierung und laufende Verbesserung fordert. Für Nutzer ("Betroffene") wird es künftig einfacher möglich sein, sich ein Bild von Art und Umfang der Verarbeitung ihrer persönlichen Daten zu machen und auch gegen falsche oder illegale Verarbeitung vorzugehen.

Generell lässt sich dabei sagen, dass mit Inkrafttreten der DSGVO bei vielen Anwendungen und Systemen kein Stein auf dem anderen bleiben wird, in manchen Bereichen aber auch nur Optimierungsbedarf oder (relativ selten) auch kein Handlungsbedarf besteht. Obgleich die Themen Datenschutz und Sicherheit für uns stets eine zentrale Rolle spielten, beschäftigen wir uns in Vorbereitung auf das Inkrafttreten der DSGVO seit Sommer des Vorjahres noch intensiver damit. Viele der Arbeiten in unserem Haus, wie die Evaluierung und Optimierung unserer technischen und organisatorischen Maßnahmen (auch "TOM" genannt) und die Ausarbeitung von ADV-Verträgen für unsere Kunden, sind so gut wie abgeschlossen. Manche Arbeiten waren bei uns auch nicht erforderlich, da wir seit Beginn unserer Tätigkeit um Datensparsamkeit bemüht sind und alte Datenbestände daher regelmäßig und konsequent löschen.

Andere Arbeiten, wie die umfassenden Änderungen bei der Handhabung von Domain-Kontaktdaten, insbesondere hinsichtlich deren Veröffentlichung im "WHOIS", befinden sich noch in einer relativ frühen Projektphase. Hierzu lässt sich zusammenfassend festhalten, dass über diesen, seit den Urzeiten des Internets verfügbaren Auskunftsdienst wohl bei nahezu allen Domain-Endungen ("TLDs") im Laufe des Jahres standardmäßig keine personenbezogenen Daten mehr abgefragt werden können.

Die Verarbeitung personenbezogener Daten wird künftig wesentlich in ihrem Umfang eingeschränkt. Besonders im Hinblick auf deren Weitergabe und Offenlegung kommt es zu zahlreichen Änderungen, welche aus Sicht der Betroffenen ausschließlich positiven Charakter haben.

Wir kontrollieren die Verarbeitung der Daten jedoch nicht in jeder Instanz alleine. Wenn wir als reiner Verarbeiter von Daten agieren, müssen wir den Anweisungen von Datenverantwortlichen wie ICANN und den jeweiligen zentralen Registrierstellen folgen, um Ihnen weiterhin unsere Dienste anbieten zu können. Dies bedeutet, dass wir auch weiterhin vollständige Kontaktdaten für unsere eigenen Geschäftszwecke im Rahmen der DSGVO, als auch für die legitimen Zwecke der Datenverantwortlichen anfordern müssen, deren Verarbeitung und Datenübermittlung aber so weit wie möglich einschränken. Die Erfassung und Speicherung, aber (sofern zutreffend) auch die Veröffentlichung und Weitergabe personenbezogener Daten wird sich künftig reduzieren.

Die nachfolgenden Aussagen haben ausschließlich informellen Charakter und stellen keine Rechtsberatung dar.


Wissenswertes zu unseren Dienstleistungen

Für Websitebetreiber stellen sich im Rahmen der DSGVO diverse Fragen. Dieser Artikel enthält umfangreiche Informationen zu den Themen Verbindungs-Sicherheit, Standort der Datenspeicherung, Zuverlässigkeit, Backups und Software-Versionen und gibt Website-Betreiber so die nötigen Antworten.

Verbindungssicherheit durch SSL/TLS-Verschlüsselung

Die Nutzung von https ist für alle Websites empfehlenswert. Sobald eine Übermittlung von Daten erfolgt (z.B. über ein Kontaktformular) ist die Verwendung im Hinblick auf die Konformität mit der DSGVO beinahe zwingend geboten. SSL/TLS-Verschlüsselung ist im Rahmen der DSGVO zwar nicht wörtlich gefordert, ohne lässt sich eine "sichere Datenübertragung" in der Praxis allerdings nicht realisieren.

Die über das Domaintechnik-Control Panel verfügbare kostenfreie Let's Encrypt Verschlüsselung ist hierfür technisch ausreichend. Let's Encrypt lässt sich über das Control Panel mit wenigen Klicks aktivieren. Bei Aktivierung von Let's Encrypt wird automatisch eine Weiterleitung aller http-Zugriffe auf https:// aktiv. Diese Weiterleitung kann bei Bedarf auch in den Domain-Einstellungen deaktiviert werden. Dies ist jedoch nicht empfehlenswert, da unsere Server auf die rasche Auslieferung von https-Inhalten optimiert sind und http daher keine nennenswerten Vorteile mehr aufweist.

Standort der Datenspeicherung

Unsere Server befinden sich ausschließlich in Wien. Eine Übermittlung an Cloud-Dienste, externe Dienstleister, externe Standorte oder Ähnliches fand und findet nicht statt.

Ein physischer Zutritt zu unseren Systemen ist nur ausgewählten Mitarbeitern möglich. Am Datencenter-Standort gelten die strengsten Sicherheitsvorschriften (Videoüberwachung, mehrköpfiges, bewaffnetes Wachpersonal, Zutritt durch mehrstufige Sicherheitsschleuse, etc.). Ein Zutritt von Fremdtechnikern (z.B. in Schadensfällen) ist nur unter Beisein und Aufsicht unserer Mitarbeiter und grundsätzlich nur im Offlinezustand (keinerlei Zugriffsmöglichkeit auf Daten) möglich.

Zuverlässigkeit und Backups

Die von der DSGVO geforderte Zuverlässigkeit von Datenverarbeitungssystemen ist bei allen unseren Webhosting-Angeboten grundsätzlich gegeben. Unsere Systeme sind redundant aufgebaut. Zusätzlich werden alle Daten in Echtzeit auf baugleiche Systeme gespiegelt.

Sicherungen von Website-, Datenbank- und E-Mail-Daten werden einmal täglich erstellt und für zumindest sieben Tage gespeichert. Je nach Speicherverfügbarkeit werden Daten für bis zu 180 Tage vorgehalten. Die redundanten und verschlüsselten Backup-Speicher werden jeweils auf gespiegelte Storage-Systeme dupliziert. Die Verfügbarkeit eines Backups ist also unter nahezu allen Umständen gewährleistet.

Unsere Backup-Systeme stellen die aktuelle Evolutionsstufe unserer Entwicklung in diesem Bereich dar. Sie sind das Resultat aus mehr als 15 Jahren Praxisbetrieb und werden auch in Zukunft weiter verfeinert und ausgebaut. Wir konnten in den vergangenen 15 Jahren jeden Wunsch nach einem Backup aus den vergangenen sieben Tagen grundsätzlich befriedigen.

Software-Versionen und Updates

Unsere Webserver befinden sich ausnahmslos am aktuellsten Versionsstand. Es besteht allerdings die Möglichkeit, auch alte Software (z.B. PHP4-Skripte) zu betreiben. Nicht mehr gepflegte Software-Versionen bleiben auf unseren Servern auch in Zukunft verfügbar. Der Einsatz erfolgt dabei, wie auch in der Vergangenheit, auf eigene Gefahr des Website-Betreibers.

Der Vollständigkeit halber sei jedoch ausdrücklich erwähnt, dass eine DSGVO-konforme Verarbeitung von Daten grundsätzlich nur gegeben sein kann, wenn ausschließlich noch gewartete Software-Versionen zum Einsatz kommen. Dies betrifft die verwendete Datenbanktechnologie, Skriptsprachen und am Webspace installierte Software gleichermaßen.

Sofern im Rahmen Ihres Onlineangebots personenbezogene Daten erfasst oder bearbeitet werden, sollten Sie prüfen, ob dabei aktuelle Datenbanktechnologie (MySQL min. 5.5, besser 5.7), Skriptsprachen (PHP min 5.6, besser 7.0) und Anwendungsversionen (z.B. min. Typo3 7.6LTS, besser 8.7LTS) verwendet wird. Wenn dies nicht gegeben ist, sollte eine Aktualisierung vor dem 25.05.2018 umgesetzt werden.

Eine Prüfung, ob bestimmte Software-Versionen noch gewartet werden (Support Status), ist in unserer Übersicht der Softwareversionen möglich.

Cookie-Verwendung und Newsletter-Versand

Die Behandlung von Cookies und der Versand von Newslettern zum Zweck der Online-Direktwerbung wird in der sogenannten ePrivacy-Verordnung ebenfalls neu geregelt. Diese EU-Verordnung verzögert sich jedoch, wodurch bis auf Weiteres die nationalen Gesetze gelten: Bis die neue Verordnung in Kraft tritt, gilt in Österreich für die Verwendung von Cookies und den Newsletterversand das Telekommunikationsgesetzes (TKG). Ausführliche Informationen zur aktuellen Rechtslage, speziell aus dem Blickwinkel der DSGVO, finden Sie auf den Seiten der Österreichischen Wirtschaftskammer:
Verwendung von Cookies
Versand von E-Mails


Änderungen durch die DSGVO bei Domains

Deutliche Reduktion der im WHOIS-Dienst verfügbaren Informationen.

Aktualisierte Registrierungsbestimmungen als Basis dieser Verbesserung.

Die von unserem Whois-Server zur Verfügung gestellten Kontaktdaten beinhalten Daten von Domains generischer Domain-Endungen. Bei .com und .net Domains werden Kontaktdaten dabei ausschließlich bei uns erfasst und gemäß den Registrierungsrichtlinien veröffentlicht. Um die Anforderungen der DSGVO zu erfüllen, wird die Veröffentlichung von Kontaktdaten im Whois mit 25.05.2018 bei unserem Whois-Server auf wenige Informationen reduziert. Alle anderen Felder werden redigiert bzw. keine Detaildaten mehr enthalten. Auskunftsinteressen Dritter werden bis auf Weiteres nur befriedigt, sofern ein berechtigtes Interesse dargelegt bzw. nachgewiesen werden kann.

Einen Sonderfall stellen Domaintransfers dar, da diese die Verfügbarkeit des Namens und der E-Mail-Adresse des Domain-Inhabers im Whois voraussetzen. Um die Funktionalität von Domaintransfers gewährleisten zu können, tritt mit Deaktivierung der (standardmäßig aktiven) Transfersperre automatisch eine (vom Domain-Inhaber aktiv durch Einwilligung zu bestätigende) Veröffentlichung der Kontaktdaten (konkret: Name, Firmenname, Land und E-Mail-Adresse des Domain-Inhabers) in Kraft. Die Veröffentlichung in diesem speziellen Fall ist aktuell sowohl aus rechtlichen, als auch aus technischen Gesichtspunkten alternativlos.

Gemäß der unverändert aufrechten vertraglichen Vereinbarungen mit ICANN und der jeweils für eine Domain-Endung zuständigen Registry gilt bei allen weiteren generischen Domain-Endungen (z.B. .info, .org, .shop, etc.), dass die Kontaktdaten des Domain-Inhabers und der weiteren Domain-Kontakte (z.B. des technischen Kontakts) zur Erfüllung des Registrierungs- und Verwaltungsvertrags über eine Domain von uns als Daten-Prozessor erfasst und an die zuständige Registry übermittelt werden. Bei diesen, oftmals in der EU, vielmals aber auch in den USA angesiedelten Unternehmen ist zu beobachten, dass sie sich leider erst sehr spät den umfassenden und wesentlichen Änderungen im Zuge des Inkrafttretens der DSGVO bewusst wurden und werden.

Bei ICANN als oberster Stelle für die Domain-Vergabe wird aktuell an einer harmonisierten Lösung gearbeitet. Zum 25.05.2018 ist aber nur bedingt mit konkreten Maßnahmen zu rechnen. Viele der zentralen Registrierstellen generischer Domain-Endungen verfahren hinsichtlich der Datenveröffentlichung jedoch sehr ähnlich wie wir.

Bei den diversen Länder-Domain-Endungen zeichnet sich eine nahezu einheitliche Vorgehensweise ab: Die Kontaktdaten werden zur Vertragserfüllung weiterhin erfasst, jedoch künftig nicht mehr oder nur noch sehr eingeschränkt veröffentlicht. Hier sollten die Maßnahmen bei allen Registrierstellen aus der EU, insbesondere bei der .at-Domain, zum 25.05.2018 abgeschlossen sein. Bei manchen Domain-Endungen (z.B. .de-Domains) wird die endgültige Umsetzung erst im Laufe des Jahres erfolgen.

Die Registrierungsbestimmungen nahezu aller Domain-Endungen werden von deren Registry-Betreibern im Zuge des Inkrafttretens der DSGVO überarbeitet. Infolgedessen ist auch der Anhang 1 unserer Allgemeinen Geschäftsbedingungen, welcher sich mit den Bestimmungen der zahlreichen von uns angebotenen Domain-Endungen befasst, laufend Änderungen unterworfen. Da alle diese Änderungen für unsere Kunden und die betroffenen Domain-Inhaber ausschließlich begünstigend sind, werden wir hierzu keine gesonderten Informations-Aussendungen vornehmen. Dies wird von den Registry-Betreibern, mit wenigen Ausnahmen, ebenso gehandhabt.

Einen tabellarischer Überblick über die Änderungen der Registrierungsbestimmungen und Informationen zu den seitens der jeweils zuständigen Registry im Zuge der DSGVO-Umsetzung getroffenen Maßnahmen werden wir in Kürze hier bereitstellen.


Änderungen durch die DSGVO beim Hosting

Die Genauigkeit der Logaufzeichnungen wurde reduziert, um keine personenbezogenen Daten mehr zu generieren. Zugriffe von externen Systemen auf Datenbankserver werden eingeschränkt. Unverschlüsselte E-Mail-Protokolle werden eingestellt.

Logging

Um unseren Kunden die Einholung einer Einwilligung in die Erfassung, Speicherung und Verarbeitung von jedem Website-Besucher zu ersparen, trat mit 01.05.2018 eine Änderung der serverseitigen Log-Aufzeichnungen in Kraft: Bei den Aufzeichnungen wird seither das letzte Oktett nicht mehr erfasst. Anstatt der vollständigen IP-Adresse (z.B. 192.168.0.77) wird nur noch ein Teil (z.B. 192.168.0.0) protokolliert.

Dies führt zwar zu einem Verlust an der Detailschärfe der Statistik, gewährleistet jedoch, dass es sich bei der verbleibenden Rumpf-IP-Adresse um keine personenbezogenen Daten mehr handelt und daher keine Behandlung im Sinne der DSGVO (Einholung einer Zustimmung) erforderlich ist.

Historische Log-Aufzeichnungen wurden bisher automatisch nach zwei Monaten gelöscht. Dies wird auch in Zukunft so beibehalten. Die Aufzeichnungen aus dem April 2018 werden allerdings, nachdem diese noch ungekürzte IP-Adressen enthalten, bereits am 24.05.2018 gelöscht. Somit besteht für keinen Website-Betreiber Handlungsbedarf hinsichtlich der Log-Aufzeichnungen.

Datenbank-Zugriffe von externen Systemen

Zugriffe auf unsere Datenbank-Server waren in der Vergangenheit stets auch von externen Systemen aus möglich. Künftig sind Zugriffe standardmäßig nur noch aus unserem Netzwerk möglich. Für Zugriffe von anderen Gegenstellen gibt es im Datenbank-Manager des Control Panels nun die Möglichkeit, bestimmte IP-Adressen für Fernzugriffe freizuschalten.

Einstellung von unverschlüsselten E-Mail-Protokollen

Nachdem die Übermittlung von personenbezogenen Daten oder gar sensiblen Daten per E-Mail in der Praxis nicht ausgeschlossen werden kann, ist ein Zugriff auf Mailboxen via POP3 und IMAP ab 24.05.2018 nur noch SSL/TLS-verschlüsselt möglich. Die Möglichkeit des unverschlüsselten Zugriffs über die Ports 110 (POP3) und 143 (IMAP) entfällt ersatzlos. Bitte prüfen Sie die Einstellungen in Ihrem E-Mail-Programm, ob Sie bereits verschlüsselt über Port 995 (POP3) bzw. Port 993 (IMAP) zugreifen.

Hilfestellung zur Prüfung der korrekten E-Mail-Einstellungen finden Sie auf unserer Hilfe-Seite für die sichere Einrichtung Ihres E-Mail-Kontos.

Vertrag Auftragsdatenverarbeitung (ADV / ADVV)

Aktuelle FassungBeschreibungHistorische Fassungen
PDF Icon Vertrag AuftragsdatenverarbeitungVertrag für Auftragsdatenverarbeitung gemäß Art. 28 DSGVO für Endkunden inkl. Anhang 1 (ausfüllbar)PDF Icon Version 1.0 vom 11.05.2018
PDF Icon Anhang 2 - TOMAnhang 2 zum Vertrag für Auftragsdatenverarbeitung
Technische und organisatorische Maßnahmen
PDF Icon Version 1.0 vom 11.05.2018