DSGVO (Tipps und Änderungen)

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung - kurz DSGVO genannt - in Kraft.

In den letzten Wochen haben auch wir unsere Systeme und Services an die Erfordernisse der DSGVO angepasst. Dabei haben wir auch Maßnahmen getroffen, die Ihnen einige Informationspflichten erleichtern, wie zB die Maskierung der IP-Adressen in den Server-Logfiles. Welche Änderungen sich hier möglicherweise für Sie ergeben, haben wir hier für Sie zusammengefasst:

Ab diesem Zeitpunkt ist es überdies wichtig, dass auch Ihre Website einige Voraussetzungen erfüllt. Wir möchten Sie gerne mit den wichtigsten diesbezüglichen Informationen versorgen, damit Ihnen auch nach dem 25. Mai 2018 keine rechtlichen Probleme in Zusammenhang mit Ihrer Website ins Haus stehen. Wir sind natürlich keine Juristen, die hier dargestellten Informationen sind daher nicht rechtsverbindlich, sie sind lediglich Ausfluss unserer eigenen Ansichten und Erfahrungen. Diese Tipps finden Sie weiter unten.

Informationen und Änderungen aufgrund der DSGVO

Verschlüsselung der Email-Protokolle (SSL/TLS)

Ab spätestens 25.05.2018 werden die unverschlüsselten Zugriffe über die Ports 110 (POP3) und 143 (IMAP) gesperrt. Damit ist auch eine "POP before SEND" - Authentifizierung nicht mehr möglich. Diese Änderung ist aufgrund der DSGVO erforderlich, da die Übermittlung von personenbezogenen oder sensiblen Daten über E-Mail nicht ausgeschlossen werden kann. Prüfen Sie daher am besten gleich die Einstellungen Ihres Email-Clients: Port 465 oder 587 für SMTP, Port 993 für IMAP und Port 995 für POP3.

Logfiles Webserver (Apache)

Eine IP-Adresse ist ein persönliches Datum. Deshalb wird künftig das letzte Oktett der IP-Adresse eines Besuchers vor dem Speichern maskiert. So wird zB aus der IP 192.168.11.231 192.168.11.0. Damit wird zB auf Ihrer Website kein direkter Personenbezug über die Logfiles hergsstellt. Sie ersparen sich dadurch die Einholung einer Einwilligung für die Speicherung dieser Daten (Achtung, ersetzt nicht den Cookie-Hinweis!. Lesen Sie dazu die untenstehenden Tipps.
Logfiles werden nach zwei Monaten gelöscht.

Logfiles Mailserver

Auf unseren Mailservern und Tools zur Spamerkennung werden zum Zweck der Nachprüfbarkeit und zur Verhinderung von Missbrauch folgende Daten gespeichert:  Absender, Empfänger, Message-ID und Größe einer versandten oder empfangenen E-Mail. Teile des Inhalts werden in diesem Zusammenhang nicht gespeichert. Logfiles werden nach 2 Monaten gelöscht.

Übermittlung von Zugangsdaten

Wir planen, ab 25.05.2018 die Übermittlung von Zugangsdaten über unsere selbst entwickelte "Secure Data Exchange (SDE)"- Plattform zu bewerkstelligen. 

Backups

Alle regelmäßigen Backups werden verschlüsselt und nach 7 Tagen überschrieben, es sei denn, wir haben eine andere Vereinbarung getroffen.

Redundanz

Unsere Webserver werden in 5 Minutenabständen repliziert. Unsere Mailserver werden in Echtzeit zwischen unseren Mailservern in Östererich und Deutschland repliziert (siehe dazu die Standortbeschreibungen unten).
Der Zugriff mittels POP3 und IMAP erfolgt zufällig verteilt auf einen der beiden Server (Roundrobin).

Serverstandorte

Unsere Server befinden sich auf folgenden Standorten:

1) Wien (Ö) bei EWW ITandTEL und Hutchinson Drei Austria
2) Falkenstein (D) bei Hetzner Online GmbH

Der Zutritt zu den Servern bei Hutchison Drei Austria wird videoüberwacht. Der Zutritt ist mit elektronischer Zutrittskontrolle und versperrbaren Racks gesichert.
Der Zutritt zu den Servern bei EWW ITandTEL wird mit elektronischer Zutrittskontrolle und versperrbaren Racks gesichert.

Die Datacenter-Parks der Hetzner Online GmbH in Falkenstein haben folgende Zutrittsbeschränkungen:

  • elektronisches Zutrittskontrollsystem mit Protokollierung
  • Hochsicherheitszaun um den gesamten Datacenter-Park
  • dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)
  • Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  • 24/7 personelle Besetzung der Rechenzentren
  • Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
  • Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters
Reduktion der WHOIS-Daten bei Domains

Aufgrund der DSGVO kommt es zu einer deutlichen Reduzierung bei den öffentlich zugänglichen WHOIS-Datenbanken engezeigten Informationen zum Domaininhaber. In jenen Ländern, in denen die DSGVO oder ein dieser gleichzustellendes Datenschutzniveau gilt, werden daher folgende Neuerungen (hier am Beispiel von nic.at) schlagend:

"Das WHOIS ist ein öffentliches Verzeichnis registrierter .at-Domains, das früher alle Inhaber- und deren Kontakt-Daten zu sämtlichen .at-Domains angezeigt hat. Durch die unmittelbare Anwendbarkeit der DSGVO ändern sich diese umfassenden Abfragemöglichkeiten für die Öffentlichkeit, wie folgt:

Die Inhaber-Daten juristischer Personen werden weiterhin im WHOIS veröffentlicht. Den dahinterstehenden natürlichen Personen wird empfohlen, bei notwendigen Kontaktangaben Abteilungen statt einzelner Mitarbeiter zu benennen und entpersonalisierte E-Mail-Adressen anzugeben.

Die Inhaber-Daten natürlicher Personen werden grundsätzlich nicht mehr im WHOIS veröffentlicht. Inhaber-Daten natürlicher Personen scheinen nur noch auf Grund ihres ausdrücklichen Wunsches hin im WHOIS auf. Eine Bekanntgabe dieser Inhaber-Daten im Einzelfall erfolgt sonst ausschließlich aufgrund eines konkreten Auskunftsbegehren eines Dritten, der ein berechtigtes Interesse nachweisen muss.

Bitte beachten Sie in dem Zusammenhang, dass es auf den Antragsteller (also Sie oder Ihren Registrar) ankommt, ob bei Registrierung der richtige Personen-Typ, nämlich Organisation oder Privatperson, angegeben wird."

Quelle: https://www.nic.at/de/wissenswertes/rechtliche-hintergruende/datenschutzerklaerung

Tipps für Sie im Überblick
Datenschutzerklärung anbieten

Bieten Sie den BesucherInnen Ihrer Website eine „Datenschutzerklärung“ an. Infos und Mustervorlagen dazu finden Sie z.B. hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html. Darunter fallen in der Regel auch Angaben zu Cookies, sowie Angaben zu weiteren Diensten, die personenbezügene Daten speichern könnten wie zB Analysetools, Social Media Plugins, eingebettete Videos, Maps, etc.  

Cookies

Bei Cookies handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten in der Regel keinen Schaden an und können das Nutzererlebnis verbessern. Ausführliche Informationen über Cookies finden Sie z.B. hier.
Wenn Sie Cookies verwenden, benötigen Sie einen Cookie-Hinweis und eine Erwähnung in Ihrer Datenschutzerklärung. Wenn Sie sich nicht sicher sind, ob Ihre Website Cookies verwendet, fragen Sie uns, wir helfen Ihnen gerne weiter und unterstützden Sie auch beim Einbau eines Cookie-Hinweises.

Google Analytics

Wenn Sie Google Analytics zur Analyse der Websitebesuche verwenden, gehen Sie bitte wie folgt vor:

  • Schließen Sie eine Vereinbarung zur Auftragsdatenverarbeitung mit Google ab: dies können Sie über Ihr Google Analytics Konto und er Verwaltung -> Kontoeinstellungen ganz einfach online erledigen
  • IP-Adressen anonymisieren: fügen Sie folgende Zeile Javascript-Code in Ihr GA-Skript ein: ga('set', 'anonymizeIp', true); Nähere Infos dazu und die korrekte Vorgangsweise, wenn Sie den Google Tag Manager verwenden, finden Sie z.B hier: https://www.kloos.at/blog/google-analytics-datenschutzkonform-nutzen/ oder direkt bei Google: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
  • Bieten Sie eine Möglichkeit zum OptOut an: Fügen Sie folgenden Javascript-Code VOR ihrem GA-Skript ein:

    var gaProperty = 'UA-XXXXXXXX-X';
    var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; }
    function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; }

"UA-XXXXXXXX-X“ ersetzen Sie bitte durch Ihre eigene Google Analytics Property-ID
Danach bieten Sie den Opt-Out-Link an, z.B. in Ihrer Datenschutzerklärung: OptOut

Mailchimp

Wenn Sie Mailchimp zum Versand eines Newsletters verwenden, müssen Sie eventuell DSGVO-konforme Bestätigungen Ihrer Newsletter-Empfänger einholen. Jedenfalls sollten Sie eine Vereinbarung zur Auftragsdatenverarbeitung mit Mailchimp als VErsanddienstleister abschließen. Das können Sie online hier (https://mailchimp.com/legal/forms/data-processing-agreement/ ) machen.

Google Maps

Wenn Sie Google Maps verwenden, um z. B. die geografische Lage Ihres Unternehmens auf einer interaktiven Karte darzustellen, sollten Sie dies in Ihrer Datenschutzerklärung anführen. Dieses Tool verwendet die Google Maps API, die Informationen dienen Google beispielsweise dazu, die Interaktion mit Google Maps zu ermitteln. Darüber hinaus werden von Ihnen gewählte Einstellungen wie Zoom-Level, Sprache, geografische Region, etc. gespeichert.
Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter unter https://www.google.de/intl/de/policies

Youtube

Wenn Sie auf Iherer Website Videos über die Video-Plattform Youtube einbinden, so sollten Sie dies ebenfalls in Ihrer Datenschutzerklärung anführen. Die Datenschutzerklärung von Youtube bzw. Google finden Sie hier.

Facebook

Auch "Gefällt mir" und "Like" Buttons sowie weitere mögliche Plugins gehören in die Datenschutzerklärung.  Eine Liste der Plugins finden Sie unter http://developers.facebook.com/docs/plugins/. Die Datenschutzerklärung von Facebook finden Sie hier: http://de-de.facebook.com/policy.php

Twitter

Die Datenschutzerklärung von Twitter finden Sie unter http://twitter.com/privacy

WHOIS-Daten (Domaindaten) bereinigen

Wie bereits weiter oben bei den Änderungen für Domainregistrierungen beschrieben, sollten Sie Ihre WHOIS-Daten bereinigen, falls Sie als Organisations-Kontaktdaten natürliche Personen angegeben haben. Führen Sie am besten eine WHOIS-Abfrage durch und kontrollieren Sie, welche Daten angezeigt werden. Nehmen Sie anschliessend Kontakt mit uns auf, um natürliche Personen durch zB Abteilungen und persönliche Email-Adressen durch Organisationsadressen zu ersetzen.

SSL-Zertifikate (https://)

Die DSGVO verlangt zwar nicht wörtlich die Verwendung eines https://-Zertifikates, ein solches ist aber in jedem Falle empfehlenswert. Wenn man über Ihre Website Daten übermitteln kann (zB eine Newsletter-Anmeldung, Kontakt-Formular, etc.) ist die geforderte sichere Datenübertragung ohne entsprechendes Zertifikat kaum argumentierbar. Bitte setzen Sie sich mit uns unter office@omanbros.com in Verbindung, wenn Sie ein Zertifikat installieren möchten, wir informieren Sie über die Möglichkeiten, die Sie haben.

Datenverarbeitungsvereinbarung und technisch organisatorische Massnahmen

Download: Vereinbarung Auftragsverarbeitung »
Download: Technisch-organisatorische Maßnahmen (TOMs) »

Wenn Sie zu den oben genannten Punkten Fragen haben oder Hilfe benötigen, wenden Sie sich gerne wie gewohnt an uns per Email an office@omanbros.com oder telefonisch unter 01/9690304.
Wir helfen Ihnen gerne!

anfahrt »

OmanBros.com Internetdienstleistungen GmbH Gasometer


Guglgasse 8|2|85
1110 Wien

google maps »

  

info@omanbros.com »

+43 1 969 03 04
OmanBros.com