Vor Kurzem haben wir Euch hier über die wichtigsten Aspekte zur Datenschutz-Grundverordnung (DSGVO) informiert. Eure Rückmeldungen haben gezeigt: Es gibt noch offene Fragen – und die häufigsten beantworten wir Euch mit diesem Beitrag.
Was ist eine Auftragsverarbeitungsvereinbarung (AVV)? Wann sollte ich sie abschließen?
Arbeitest Du mit einem Dienstleister, Tool oder einem anderen Dienst, der personenbezogene Daten in Deinem Auftrag verarbeitet? Dann ist das Unternehmen, das diese Daten verarbeitet, gemäß Artikel 28 der DSGVO ein „Auftragsverarbeiter“. In puncto Datenschutz gehst Du also auf Nummer sicher, wenn Du mit diesem Anbieter eine Auftragsverarbeitungsvereinbarung (AVV) abschließt.
Das gilt auch für STRATO: Die AVV beschreibt genau, wie wir die personenbezogenen Daten verarbeiten, die Du in unseren Diensten speicherst. So hast Du jederzeit den Nachweis darüber und kannst etwas vorlegen, wenn Dich jemand fragt. Als STRATO Kunde bist Du mit einer AVV also auf der sicheren Seite. Die schließt Du ganz unkompliziert online ab. Wie Du das machst, erklären wir hier.
Wenn Du eine AVV mit uns hast, ist das kein Neuvertrag. An Deinem bestehenden Paket mit den vereinbarten Leistungen ändert die AVV nichts.
Übrigens: Schon vor der DSGVO waren wir an das Bundesdatenschutzgesetz gebunden, das solche Themen schon immer ernst genommen hat. Deshalb sind Vereinbarungen zur Auftragsverarbeitung nichts Neues: Bereits vor der DSGVO gab es eine ähnliche Vereinbarung, die Kunden mit uns abschließen konnten. Uns freut zu sehen: Viele von Euch haben sich bereits um die AVV gekümmert.
In der AVV ist von einer Vergütung die Rede – welche Kosten kommen auf mich zu?
In unserer AVV mit Dir ist STRATO der „Auftragnehmer“. Die AVV regelt unter anderem, dass wir Dich als Kunde dabei unterstützen, die Pflichten der DSGVO einzuhalten. Die Vereinbarung mit uns abzuschließen, ist und bleibt für Dich kostenfrei und inklusive.
Es kann natürlich vorkommen, dass Du zum Beispiel für Deine eigenen Kunden bestimmte Daten benötigst oder eine Anfrage hast, die für uns mit einem erheblichen Mehraufwand verbunden ist. In diesem Fall ist nicht ausgeschlossen, dass separate Kosten entstehen. Aber keine Sorge: Sollte das tatsächlich der Fall sein, würdest Du hierüber gesondert informiert werden und müsstest das vorab bestätigen. Einen pauschalen Kostenbetrag können wir Dir zugleich nicht nennen, da wir die Kosten immer individuell je nach Aufwand, der hinter einer Anfrage steckt, kalkulieren müssen.
Hinter meiner Domain stecken keine Inhalte – brauche ich trotzdem Impressum und Datenschutzerklärung?
Wir dürfen diese Frage nicht mit einem klaren Ja oder Nein beantworten, denn dann würden wir eine Rechtsberatung geben. Gleichzeitig möchten wir Dich aber darauf hinweisen, dass Daten wie die IP-Adresse an uns übermittelt werden, sobald jemand Deine Website aufruft.
Ist Deine Website noch im Aufbau? Oder nutzt Du die Domain hauptsächlich für Dein Mailpaket? Bei STRATO kannst Du auf der Seite, die unter Deiner Domain erscheint, die Digitale Visitenkarte anzeigen lassen. Wie das geht, erklären wir in dieser Anleitung.
Das Feld „Kontakt“ im Menü der Visitenkarte hat keine Textlängen-Begrenzung. Das heißt: Du kannst hier auch ergänzende Texte hinzufügen, die dem Website-Besucher angezeigt werden. Damit Du rechtssichere Texte für Deinen Webauftritt erstellen kannst, empfehlen wir Dir weiterhin den Anbieter Janolaw.
Wenn Deine Domain kürzlich konnektiert wurde und noch keine Inhalte hinterlegt sind, sehen Deine Besucher die Ansicht „Diese Internetpräsenz wurde soeben freigeschaltet.“ in verschiedenen Sprachen. Es gibt keine Möglichkeit, diese Seite zu bearbeiten. Wenn Du einen Rechtstext hinterlegen willst, solltest Du dafür also die Digitale Visitenkarte nutzen.
Empfehlung: Wenn Du die Digitale Visitenkarte bereits nutzt, solltest Du sie im Login-Bereich kurz deaktivieren und neu aktivieren. Wir haben nämlich immer wieder Anpassungen an der Visitenkarte vorgenommen, damit sie den aktuellen Anforderungen entspricht – die Visitenkarte aktualisiert sich aber nicht automatisch. Nur wenn Du sie manuell neu aktivierst, kannst Du Dir sicher sein, dass sie auf dem aktuellen Stand ist.
In meinem Webauftritt binde ich die Inhalte von externen Anbietern ein, über Plugins oder Widgets. Welche Vorgaben gelten hier?
Facebook, Twitter, Newsletter-Tool, Google-Dienste etc. – externe Anbieter und Dienste, die Du auf Deiner Website einbinden kannst, gibt es viele. Jeder Dienst geht mit den Daten Deiner Website-Besucher anders um und bei jedem gelten andere Regelungen. Auf die einzelnen Dienste können wir hier nicht näher eingehen. Zum einen gehören die Anbieter nicht zu STRATO – zum anderen sind wir auch hier nicht befugt, eine Rechtsberatung zu leisten. Am besten wendest Du Dich daher direkt an den jeweiligen Anbieter.
Rechtsberatung oder nicht – welche Fragen kann STRATO mir beantworten?
Als Internet Service Provider ist STRATO – wie jedes andere Unternehmen – natürlich daran gebunden, die DSGVO ab dem 25. Mai einzuhalten. Für uns steht fest: Wir lassen Euch als Kunden nicht alleine, wenn es darum geht, die DSGVO für Euch umzusetzen und unsere Produkte rechtssicher zu nutzen. Soweit wir das können und dürfen, stellen wir Euch hier im Blog alle nötigen Informationen bereit.
Gleichzeitig bitten wir Dich um Verständnis: Als Nicht-Juristen sind wir nicht befugt, für unsere Kunden eine Rechtsberatung zu leisten. Das heißt: Bei manchen individuellen Fragen und Themen dürfen wir Dir schlichtweg keine Auskunft erteilen.
Wir sind noch nicht fertig: Weitere Beiträge sind in Planung!
Was musst Du konkret in Bezug auf die verschiedenen Produkte beachten? Was ist in puncto Logfiles zu berücksichtigen? Wir haben noch weitere Themen zur DSGVO auf dem Zettel – und werden Euch hierzu Infos in zusätzlichen Beiträgen bereitzustellen. Folgt also weiterhin unserem Blog. 🙂
Update (30.5.18, Michael): Wir haben eine Empfehlung zur Aktualisierung der Digitalen Visitenkarte ergänzt.
Michael Poguntke
Hallo, ich bin Michael und Pressesprecher bei STRATO.
Finke3 sagte am
Die Frage wurde vermutlich schon mehrfach gestellt, aber irgendwie wurde Sie für mich nicht eindeutig beantwortet.
Ich habe das Mail Basic Paket mit der inklusiv Domain und plane zwei weitere Donains zu Strato umzuziehen.
Ich möchte die Domains lediglich für E-Mail nutzen und keinerlei Webpräsenz.
Nun nochmal die Frage:
Ist es laut DSGVO überhaupt erforderlich in diesem Fall eine Datenschutzerklärung sowie ein Impressum darzustellen?
Somit wäre ja die Beitrag dargestellte Anzeige direkt nach der Domainfreischaltung gar nicht DSGVO konform, oder?
Andreas Wehry sagte am
Hallo,
leider habe ich keine Befugnis, Dir diese Frage zu beantworten, damit würde ich die besagte Rechtsberatung geben, und das darf ich leider nicht. :-/ Ich hoffe, Du hast Verständnis.
Aber: In Deinem Fall könnte die Funktion „Domain vorläufig trennen“ interessant sein, die Du im Kundenlogin findest. Unter „Ihr Paket“ → „Troubleshooting“ findest Du das Feld „Domain vorläufig trennen“. Über diesen Button kannst Du Deine Domain vom Netz nehmen, so dass diese nicht erreichbar ist. Dann kannst Du Dich auf die Nutzung von Webmail selbst konzentrieren. 🙂
Viele Grüße
Michael
Finke3 sagte am
zum weiteren Verständnis:
Wäre in diesem Fall die Mail-Funktionalität über die Domain weiterhin gegeben und die Domain lediglich nicht mehr über den Webbrowser erreichbar?
Das wäre dann eine Lösung.
Andreas Wehry sagte am
Hallo,
ja. Auch wenn über die Domain keine Website erreichbar ist, ist die Nutzung von STRATO Webmail dadurch in keiner Weise beeinträchtigt. Ich selbst mache das mit meiner eigenen privaten Domain genau so: Über die Domain selbst sind keine Inhalte erreichbar, da ich diese nur für den Mailverkehr mit STRATO Webmail und IMAP nutze. 🙂
Freut mich, dass wir Dir damit weiterhelfen können!
Viele Grüße
Michael
Finke3 sagte am
Ok, das klingt super. Aber worin unterscheidet sich diese Seite von der Seite, dass die Domain freigeschaltet wurde? Werden beim Aufruf dann keine Log Files wie z.B. IP seitens Strato abgelegt?
Ich weiß ihr dürft keine Rechtsberatung hinsichtlich der DSGVO geben, aber ich muss ja zumindest wissen, ob in diesem Fall persönliche Daten gespeichert werden und ich hierauf hinweisen müsste.
Wenn dies der Fall wäre, würden ja grundsätzlich alle im Netz registrierten Domains unter die DSGVO fallen.
Wenn du mir hier abschließend noch einen Hinweis geben könntest, so dass ich das Thema für mich abschließen kann?!?
Andreas Wehry sagte am
Hallo,
grundsätzlich werden Logfiles gespeichert, wenn jemand eine Website über eine Domain abruft. Mehr dazu findest Du in diesem Beitrag: strato.de/blog/dsgvo-logfiles/.
Das ist tatsächlich die einzige Info, die ich Dir geben darf. Ich hoffe, das hilft Dir weiter. Meine ganz persönliche Einschätzung ist, dass Du mit der oben beschriebenen Funktion aber das Richtige tust (keine Rechtsberatung, sondern meine persönliche Meinung 😉 )
Viele Grüße
Michael
Tom sagte am
Unter Troubleshooting gibt es die Möglichkeit Domains zu trennen und so vorübergehend offline zu nehmen.
Der Beschreibung nach wird unter den registrierten Adressen und sub-domains ein Hinweis angezeigt, dass die entsprechende Seite zur Zeit nicht zur Verfügung steht.
Meine Frage: Ist dieser Hinweis denn DSGVO konform? Wird dort ein Impressum + Datenschutzerklärung eingeblendet?
Thomas Ritter sagte am
Hallo Tom,
die DSGVO findet nur Anwendung, wenn Du die Website aus wirtschaftlicher oder beruflicher Tätigkeit nutzt. Durch die Trennung der Domains, ist der Grund Deiner Website nicht mehr erkennbar. Eine alternative Option wäre die digitale Visitenkarte. Hier kannst Du in eines der Textfelder selbst eine Datenschutzerklärung einfügen.
Schöne Grüße
Thomas
Manu sagte am
Was empfiehlt Strato dazu: https://www.heise.de/newsticker/meldung/DSGVO-8500-Euro-Schadensersatz-fuer-fehlende-SSL-Schluesselung-Die-Hintergruende-4094585.html
Hintergrund:
Ich habe ein Hosting-Paket indem 7 Domains enthalten sind. Für eine Domain gibt Strato ja NUR EIN SSL-Zertifikat dazu, für die anderen muss man teuer Bezahlen. Was mich in diesem fall Jährlich ca. 250€ für die Zertifikate und einmalich 30€ Einrichtungsgebühren extra kosten würde, nur um auf dem „Stand der Technik“ zu sein.
„Die Frage, ob die DSGVO die Anwendung von SSL/TLS-Verschlüsselung für Websites und insbesondere für Formulare erfordert, dürfte dagegen von Juristen wie von Technikern bejaht werden.“ Zitat Joerg Heidrich, Rechtsanwalt und Justiziar der Heise Medien GmbH und Co. KG.
Thomas Ritter sagte am
Hallo Manu,
klar ist, dass das Thema Verschlüsselung seit der DSGVO noch einmal an Bedeutung gewonnen hat. Wie dies im Kontext der von Dir zitierten Abmahnung bzw. auch ganz allgemein juristisch zu deuten ist, können wir Dir als Nicht-Juristen nicht sagen. Wir empfehlen jedoch an sich, ein SSL-Zertifikat zu nutzen. Hier erklären wir warum.
Schöne Grüße
Thomas
Manu sagte am
Das Problem ist, dass ich für das Hosting-Paket NUR EIN Zertifikat inklusive bekomme aber 7 Domains in dem Paket habe. Deswegen müsste ich um DSGVO-Konform zu sein für die anderen 6 Domains jährlich ca. 250€ zusätzlich ausgeben weil auf allen 7 Homepages Kontaktformulare sind. Da lohnt es sich nicht mehr für Private bzw. kleine Homepages zu bleiben.
Strato bekommt es einfach nicht gebacken zumindest jeder Domain (nicht Subdomain) ein Single-Domain-Zertifikat bereitzustellen ohne die Kunden abzuzocken, bzw. die Möglichkeit zu bieten, alternativ z.B. Let’s Encrypt Zertifikate zu verwenden.
Deswegen ist Strato überhaupt NICHT auf dem „Stand der Technik“!!!!!!!!
Thomas Ritter sagte am
Hallo Manu,
ich kann Deinen Unmut persönlich nachvollziehen. Deinen Wunsch habe ich mit dem Nachdruck auch an die entsprechenden Kollegen weitergeleitet. Ich kann aber aktuell keine andere Aussage dazu treffen.
Schöne Grüße
Thomas
Manu sagte am
Gibt es denn von Ihren Kollegen schon eine Rückmeldung? Wäre erfreulich von denen auch mal eine Antwort zu bekommen und nicht immer nur zu hören, dass es an sie weitergeleitet wurde.
Was sagen die ehrenwerten Kollegen bitte dazu:
https://www.heise.de/newsticker/meldung/SSL-wird-Pflicht-Chrome-Browser-warnt-vor-unverschluesselten-Verbindungen-4118009.html
Bezüglich eines Zitates von euch hätte ich noch eine frage.
Zitat: „Ganz im Sinne von #faireinfacht kommunizieren wir ehrlich und transparent mit Dir“
Wenn man z.b. das Hosting-Paket PowerWeb Pro bei euch für 20 €/Mon. bestellt, aber versteckt nochmal 12€/Mon. für die Zertifikate drauf zahlem muss um die Domains vernünftig und nach dem Stand der Technik verwenden zu können, wo ist da bitte die Transparenz???
Thomas Ritter sagte am
Hallo Manu,
bedauerlicherweise gibt es zu diesem Thema nach wie vor keine anders lautende Meldung. Ich kann Deinen Unmut jedoch persönlich nachvollziehen und hake hier gerne noch einmal bei den entsprechenden Stellen nach.
Da Du unsere Kommunikation ansprichst, ein paar Worte dazu: Unser Ziel ist es, dass sich unsere Kunden fair behandelt und gut bei uns aufgehoben fühlen. Dazu zählt unseres Erachtens auch eine transparente Kommunikation. Das bedeutet, wir sind ehrlich dankbar über jede konstruktive Kritik, äußern uns aber auch – zum Beispiel an dieser Stelle – ganz ehrlich und offen zu allen Themen. Wir haben zudem auch alle Sternchentexte von unserer Website entfernt und schreiben unseres Erachtens nach recht prominent, dass wir ein Inklusiv-Zertifikat je Paket anbieten und welche Kosten mit weiteren Zertifikaten verbunden sind, zum Beispiel hier.
Sobald es Neuigkeiten rund um das Thema Zertifikate gibt, erfährst Du es natürlich auch über unsere Kanäle.
Schöne Grüße
Thomas
Felix sagte am
Wie kann ich bei eurem Baukasten auf Cookies und Tracking hinweisen bzw. sogar für Analytics und Facebook Pixel einen Opt-In bzw. Opt-Out erstellen?
Gibt es die Funktion der Cookie Hinweis Leiste?
Thomas Ritter sagte am
Hallo Felix,
im Baukasten findest Du unter Einstellungen → Allgemein den Reiter „Cookie Bestätigung“. Dort kannst Du Deinen Text dazu eintragen. Wie die Opt-in bzw. Opt-out-Funktion bei Drittanbietern geregelt ist, musst Du bitte direkt dort erfragen. Dazu können wir Dir nichts sagen.
Schöne Grüße
Thomas
Inge Zuck sagte am
Hallo,
wenn ich richtig informiert bin, nutzt der Homepage-Baukasten Google Webfonts. Muss ich deswegen eine Vereinbarung zur Auftragsverarbeitung mit Google abschließen? Oder genügt die getroffene Vereinbarung mit Strato?
Viele Grüße
Inge Zuck
Andreas Wehry sagte am
Hallo Inge,
wir dürfen leider keine Empfehlung abgeben oder diese Frage beantworten, da das in den Bereich der oben genannten Rechtsberatung gehen würde, die wir nicht erteilen dürfen. Ich bedaure, wenn ich Dir nichts Konkreteres sagen kann. In jedem Fall ist es gut, dass Du Dich mit Drittanbietern und den Besonderheiten auseinandersetzt.
Darüber hinaus gehe ich auf das Thema Google Webfonts im Homepage-Baukasten hier noch einmal näher ein: strato.de/blog/dsgvo-fragen/#comment-220993
Viele Grüße
Michael
Andreas Wehry sagte am
Hallo Inge
ich habe übrigens noch eine neue Info zum Thema Thema Google Webfonts: Der Homepage-Baukasten hat mittlerweile ein Update bekommen. Ab sofort werden die verwendeten Schriftarten (Google Web Fonts) von einem lokalen Server geladen. Es findet also keine Datenübertragung mehr außerhalb dieses Servers statt.
Damit diese Änderungen auch für Deine Website aktiv werden, musst Du sie einmal neu publizieren. Hierfür startest Du den Homepage-Baukasten und klickst einfach auf den Button „Veröffentlichen“.
Viele Grüße
Michael