Alles bereit für die DSGVO
Tom Brühwiler
Kategorie:in
Internet & Recht
Veröffentlicht am 9. Mai 2018
Aktualisiert am 3. Juni 2021
In knapp zwei Wochen, am 25. Mai 2018, tritt in der EU die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie regelt den Schutz von personenbezogenen Daten von in der EU wohnhaften Personen. Davon betroffen sind auch wir als Webhosting-Provider, der seine Services natürlich auch in der Europäischen Union anbietet. Die letzten Monate stand bei uns deshalb das etwas trockene Thema DSGVO ganz oben auf der Prioritätenliste. Und soviel schonmal vorweg: Wir sind rechtzeitig bereit für die DSGVO!
Aus technischer Sicht gab es für uns wenig zu tun, denn Datenschutz und Datensicherheit sind seit jeher ein Thema, das uns am Herzen liegt. Um mit der neuen DSGVO vollständig kompatibel zu sein, gab es dann doch Einiges an juristischer Arbeit zu erledigen. So galt es, interne Prozesse mit den Vorgaben der DSGVO abzugleichen und anzupassen, zu dokumentieren, wo welche personenbezogenen Daten gespeichert werden und erweiterte Dokumentationen zu erstellen.
Neue «Privacy Policy»
Das Thema Datenschutz, das wir bisher direkt in AGB behandelten, erhält neu eine eigene Seite. Da die DSGVO in Sachen Datenschutz einiges mehr an Text erfordert, wird sich alles zum Thema Datenschutz in einer brandneuen «Privacy Policy» finden, die wir bis zum 25. Mai 2018 veröffentlichen werden.
Der «Auftragsdatenverarbeitungs-Vertrag»
Als Webhosting-Provider verarbeiten wir Daten im Auftrag eines Dritten – unserem Kunden. Oder anders gesagt: Betreibt ein Kunde beispielsweise einen Webshop auf unseren Servern, so werden etwa Daten zu einer Bestellung auf unserer Plattform gespeichert. Gemäss der DSGVO gelten wir deshalb als Auftragsdatenverarbeiter bzw. Auftragsverarbeiter.
Der Webshop-Betreiber benötigt deshalb einen sogenannten ADV- bzw. AV-Vertrag mit uns. Auch diesen werden wir noch vor dem Inkrafttreten der neuen Datenschutz-Grundverordnung am 25. Mai 2018 zum Download zur Verfügung stellen.
Und in der Schweiz?
Für die Schweiz ändert sich derzeit nichts. Natürlich profitieren aber auch Kunden mit Schweizer Sitz von den überarbeiteten und Prozessen und Richtlinien. Das Datenschutzgesetz (DSG) befindet sich aber auch in der Schweiz in der Überarbeitung und man darf zumindest annehmen, dass sich dieses an die EU-Regelungen anlehnen wird.
Beteilige dich an der Diskussion
35 Kommentare
Ich nehme an, Du beziehst Dich bei der Dauer von 7 Tagen auf das Urteil vom EuGH aufgrund des deutschen Telemediengesetzes (vgl. https://www.datenschutz-notizen.de/eugh-entscheidung-zu-ip-adressen-keine-panik-3916391/). Die Server-Logs stehen unseren Kunden standardmässig bis zu 24h zur Verfügung, können auf Wunsch aber auch länger gespeichert werden (sog. RAW-Logs). Zugleich gilt es jeweils zu prüfen, ob die DSGVO überhaupt anwendbar ist.
Jede schweizer Webseite, die von der EU aus abrufbar ist, hat die Verpflichtung die IP-Adressen in den Logfiles nach 7 Tagen zu löschen oder zu anonymisieren. Andernfalls drohen Bußgelder und Abmahnungen (ja! auch für Schweizer). Da Cyon im Auftrag des Kunden handelt (Auftagsdatenverarbeitungsvertrag), wäre es also höchst unzulässig, wenn Cyon die IP-Adressen noch irgendwo unanonymisiert gespeichert hat, ganz unabhängig davon, ob der Kunde nun Zugriff auf die IP-Adressen hat oder nicht.
Da die meisten Kunden von Cyon Webseiten haben, die auch von der EU aus aufgerufen werden können, besteht hier dringender Handlungsbedarf von Cyon aus, entweder die IPs nach 7 Tagen zu anonymisieren oder eben ganz zu löschen (also nicht nur den Zugriff für den Kunden zu sperren).
Die angesprochenen Access-Logs werden nach den erwähnten 24h automatisch vom Server gelöscht und von uns nicht länger gespeichert, sofern, wie oben erwähnt, nicht andere Konfigurationen durch den Kunden gewählt sind.
Danke
Wenn man keine weitere Personendaten als die von euch erhobenen (Logs, AWStats) hat, kann man diese nie eindeutig einer Person zuordnen. Wenn man diese Daten einer betroffenen Person zur Verfügung stellt, beeinträchtigt man ev. Rechte anderer Personen.
Oder beurteile ich da etwas falsch, liebe Juristen und Juristinnen …
Werdet ihr auch ein Statement abgeben, bezüglich der Benutzung von AWstats und wie die Besucher die Daten einsehen und löschen können oder sich ganz rausnehmen? Oder ist das ganze komplett anonym?
Wir gehen davon aus, dass die mit AWStats erstellten Statistiken nicht eindeutig einer Person zugewiesen werden können. Bei Bedarf können die Statistiken per SFTP oder SSH gelöscht werden. Die Daten dazu befinden sich im Verzeichnis ~/tmp/awstats. Wir prüfen da zurzeit noch weitere Optionen.
Sehr geehrte Damen und Herren
Inzwischen ist der 24. Mai. Es wurde uns zugesichert, dass Kunden rechtzeitig über den ADV-Vertrag und das weitere Vorgehen per Mail informiert werden. Leider erhielt ich bis jetzt keine Mail. Ist da etwas untergegangen?
Freundliche Grüsse
Gabriele Aebli
Wir haben heute Abend den angekündigten Blogpost online gestellt und unsere Kunden soeben per E-Mail informiert. Sie finden alle wichtigen Infos unter https://blog.cyon.ch/DSGVO-das-sollten-cyon-Kunden-wissen.
Hallo,
und wo ist nun der Vertrag? Ich finde ihn im Backend bislang nicht.
Viele Grüße
Die ADV-Vereinbarung ist in der Zwischenzeit im my.cyon-Konto unter «Meine Daten» verfügbar. Weitere Informationen zur DSGVO folgen in Kürze hier in unserem Blog.
Hallo Philipp
Danke für den Text weiter oben. Fehlt nicht noch, dass man als Besucher Einsicht in die hinterlassenen Spuren verlangen kann? – Ich blick nicht ganz durch bei den Gesetzen, vielleicht interpretiere ich sie falsch.
Gruss, Oliver
Hallo Oliver, danke für die Frage. Der von uns vorgeschlagene Text betrifft lediglich den von uns angebotenen Hosting-Service. Die Datenschutzerklärung für Deine Website beinhaltet im Normalfall noch einige andere Punkte, unter anderem auch zum Auskunftsrecht. Wende Dich im Zweifelsfall an eine Fachperson. Ich kann Dir hier Rechtsanwalt Martin Steiger und sein Team als Experten auf dem Gebiet empfehlen.
Das Auskunftsrecht kann zu paradoxen Situationen führen. Hinter eine IP-Adresse können verschiedene Personen stehen; bei Swisscom & Co. sind es unzählige. Sind nur die Log-Files mit den IP-Adressen vorhanden, müsste die anfragende Person sehr viele persönliche Daten preisgeben, damit die Einträge eindeutig zugeordnet werden können.
Mit leicht amüsiertem Gruss, Stefan
Ein kleiner Wunsch im Sinne der DSGVO: In «RAW Logs Einstellungen» die Option «Die generierten Logs auf meinem Webspace für 3/6/12 Monate archivieren». Gelegentlich brauche ich sie. Aber nicht für immer. Und spare mir das manuelle Löschen.
Hallo Stefan, merci für den Kommentar. Bitte entschuldige die späte Antwort, Dein Kommentar ist fälschlicherweise als Spam taxiert worden. Wir nehmen den Wunsch gerne auf unsere Feature-Request-Liste. In der Zwischenzeit könntest Du auch mit einem entsprechenden Script und einem Cronjob die Logs automatisiert löschen lassen. Die archivierten RAW-Logs sind im Verzeichnis ~/logs abgelegt.
Lieben Dank für diesen Artikel und auch @Philipp für den Mustertext. Dazu hätte ich noch folgende Kommentare/Fragen:
Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen
Das klingt also würde eine Website nicht funktionieren ohne das Erheben dieser Daten. Sind die Gründe nicht eher rechtlich anstatt technisch? Seid ihr als Hostinganbieter gezwungen diese Daten zu erheben?
Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.
Bei diesem Satz bin ich nicht sicher ob sie aus der Rolle Hostingbetreiber oder Website-Betreiber geschrieben sind. Die erhobenen IP-Adressen sind doch eh immer personenbezogen, oder nicht?
https://blog.cyon.ch/Alles-bereit-fuer-die-DSGVO#comment-177469
Bin gespannt ob ihr die Datenerhebung in Zukunft auch optional anbieten werdet.
Hi Stefan, merci für Deinen Kommentar.
Das klingt also würde eine Website nicht funktionieren ohne das Erheben dieser Daten. Sind die Gründe nicht eher rechtlich anstatt technisch? Seid ihr als Hostinganbieter gezwungen diese Daten zu erheben?
Das hat tatsächlich technische Gründe. Anhand dieser Logs lassen sich Probleme bei der Auslieferung der Website erkennen, was ein integraler Bestandteil der Auslieferung der Website ist. Wir sind als Hosting-Anbieter zurzeit nicht gezwungen, diese Daten für einen bestimmten Zeitraum zu speichern. Die Access-Logs, auf die Du in Deinem Webhosting Zugriff hast, werden deshalb standardmässig täglich rotiert.
Bei diesem Satz bin ich nicht sicher ob sie aus der Rolle Hostingbetreiber oder Website-Betreiber geschrieben sind. Die erhobenen IP-Adressen sind doch eh immer personenbezogen, oder nicht?
Grundsätzlich ist die Erklärung aus Sicht des Website-Betreibers geschrieben. Die Erhebung der Access-Logs erfolgt durch uns zur Erhaltung der Stabilität und Sicherheit unserer Systeme. Diesen Umstand teilst Du damit als Website-Betreiber Deinen Besuchern mit, denen Du als «Verantwortlicher» gegenüberstehst.
Salut!
Besten Dank für den Beitrag. Nur, was ist mit nicht-Webshop Betreibern?
Muss für sonstige Speicherung von allfälligen Daten auch ein Vertrag unterschrieben werden? Und was ist mit der Datenverarbeitung/Statistiken via Cyon?
Kann ich die deaktivieren oder muss ich eine Klausel in den Datenschutzbestimmungen anfügen? Google Analytics haben wir nicht
Salut Stefanie. Die DSGVO betrifft nicht nur Webshop-Betreiber.
Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.
https://blog.cyon.ch/Rechtskonforme-Cookies-EU-DSGVO
Bezüglich den von uns automatisch erstellten Serverlogs, kannst Du den hier erwähnten Text für Deine Datenschutzerklärung nutzen: https://blog.cyon.ch/Alles-bereit-fuer-die-DSGVO#comment-177477
Sehr geehrte Damen und Herren
Vielen Dank für Ihre Information bez. DSGVO.
Ich wäre Ihnen sehr dankbar, wenn Sie uns mit einer Mail informieren werden,
– wenn die neue Privacy Policy nun verfügbar ist,
– wenn der ADV-Vertrag nun zum Download bereit ist, und
– was genau wir mit dem heruntergeladenen Vertrag machen sollen.
Durch Ihre Mail müssen wir uns nicht jeden Tag einloggen, um zu schauen, ob die Dokumente nun verfügbar sind. Da würden Sie, ich glaube nicht nur mir, einen grossen Gefallen tun.
Vielen Dank für Ihre Rückmeldung und freundliche Grüsse
Guten Tag Frau Aebli
Sobald die entsprechenden Dokumente bereitstehen, werden wir in einem separaten Artikel hier im Blog nochmals darauf eingehen. Kunden von cyon weisen wir zusätzlich mit einem E-Mail darauf hin.
Beste Grüsse
Hallo zusammen
Als Cyon-Kunde kann ich die Logs nicht abstellen. Ich bin der radikalen Meinung, gar nichts mehr als das Notwendige über die Besucher meiner Websites zu speichern ist der einfachste Weg, legal zu bleiben. Keine Analytics, keine Logs. Das macht mir nichts, ich messe die Erfolge an den Kundenreaktionen.
Kann eine Option eingeführt werden, dass keine Daten auf Hosting-Seite mehr gespeichert werden? So entgeht man den neuen Bestimmungen komplett.
Besten Gruss, Oliver
Hallo Oliver
Wir prüfen diesbezügliche Optionen, spruchreif ist allerdings derzeit nichts. Sollten wir solche Möglichkeiten anbieten, werden wir natürlich entsprechend informieren.
Guten Abend
Danke für den Last-minute Beitrag. ;-)
Mir persönlich fehlt noch etwas. Wie sollen wir das Thema Server Logfile in der Datenschutzerklärung behandeln? Ein verwendbarer Textauszug wäre sehr hilfreich, weil dies auch abhängig vom Webhoster ist. Weiter habe ich folgendes aufgeschnappt: ISO 27001-zertifiziert. Wie ist da der Stand bey cyon? Inwiefern sollte darauf geachtet werden?
Danke für Eure Rückmeldung.
Grüsse Christian.
Die Frage bzgl. Serverlogs interessiert mich auch, und je schneller die ADV/AV-Verträge zur Verfügung stehen desto besser. ;-) Danke für’s abklären, Tom.
Beste Grüsse, Fabian
ADV- bzw. AV-Vertrag ist immer noch nicht verfügbar. Schade, bemerke viel Unsicherheit.
In der Zwischenzeit ist die ADV-Vereinbarung verfügbar und kann im my.cyon-Konto unter «Meine Daten» abgeschlossen werden. Weitere Infos zur DSGVO gibt’s in Kürze hier in unserem Blog.
Hi Christian, danke für den Hinweis. Betreffend einem Textbeispiel müsste ich mich erst schlau machen. Ich melde mich, sobald ich hierzu weitere Informationen habe. Eine ISO-Zertifizierung ist zumindest für den Moment nicht auf unserem Radar.
Ja, ich bin auch am Warten auf diesen Textbaustein, damit wir per Impressum unsere Besucher auf die Behandlung der Logfiles hinweisen können.
Grüsse
Simeon
Hallo Herr Meder
Auf die Gefahr hin noch mehr Verwirrung zu verursachen, würde der gewünschte Text folgendermassen aussehen (nicht im Impressum sondern in der Datenschutzerklärung einzufügen)
Server-Log-Dateien
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:
Browsertyp und Browserversion
verwendetes Betriebssystem
Referrer URL
Hostname des zugreifenden Rechners
Uhrzeit der Serveranfrage
IP-Adresse
Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen gestattet.
Freundliche Grüsse
Raphael Dudler
Danke für eure Geduld. Wir haben das abklären lassen und können euch folgenden Textvorschlag anbieten:
Wie bei jeder Verbindung mit einem Webserver protokolliert und speichert der Server unseres Webhosting-Anbieters cyon in Basel, Schweiz, bestimmte technische Daten. Zu diesen Daten gehören die IP-Adresse und das Betriebssystem Ihres Geräts, die Daten, die Zugriffszeit, die Art des Browsers sowie die Browser-Anfrage inklusive der Herkunft der Anfrage (Referrer). Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen. cyon schützt diese Daten mit technischen und organisatorischen Massnahmen vor unerlaubten Zugriffen und gibt sie nicht an Dritte weiter. Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.
Dieser Vorschlag ist natürlich nicht bindend und es steht jedem grundsätzlich frei, andere Variationen, wie bspw. diejenige von Raphael Dudler, zu nutzen.
Wir werden in einem späteren Blogbeitrag nochmals auf das Thema zurückkommen.
Bisher habe ich überall gelesen, dass auch Schweizer eine AV Vertrag mit dem Hoster brauchen, wenn sie über ihre Website persönliche Daten von EU -Bürger erfassen? In eurem Beitrag klingt dies jetzt so, als ob ihr dies anders seht?
Hallo Nicoletta, das war im Blogartikel etwas missverständlich ausgedrückt, ich habe das nun korrigiert. Der entsprechende ADV- bzw AV-Vertrag wird entsprechend für alle unsere Kunden zur Verfügung stehen.
Per EU Gesetz dürfen Log-Files (bzw. die IP-Adressen darin) nur 7 Tage lang gespeichert werden, danach ist man verpflichtet diese Logfiles zu löschen oder zu anonymisieren (falls das nicht schon vorher geschehen ist).
Ist das auch bei CYON der Fall? Falls nicht ist jeder CYON-Kunde abmahnfähig inklusive Abmahnkosten.