Child pages
  • FAQs DSGVO im Hosting-Kontext
Skip to end of metadata
Go to start of metadata

FAQs zur Datenschutz-Grundverordnung (EU-DSGVO) im Hosting-Kontext

Wie sind die Rollen im Sinne der DSGVO im Hosting-Umfeld verteilt?

Verantwortlicher ist immer der Hosting-Kunde, im allgemeinen der Rechnungsempfänger.

ITEG ist beim Hosting immer Auftragsverarbeiter und nur Auftragsverarbeiter.

Gibt es eine schriftliche Vereinbarung zum Hosting als Auftrags-Datenverarbeitung?
Was muss ich als Hosting-Kunde (möglichst bis 25.5.2018) tun?

Wenn im Rahmen der bei ITEG für Sie gehosteten Dienste keinerlei Personenbezogene Daten verarbeitet werden ist gar nichts zu tun.

Andernfalls muss bis 25.5. eine Datenverarbeitungs-Vereinbarung getroffen werden. Muster sowie Ausfüllhilfen finden Sie hier: Vereinbarung über ITEG-Hosting als Auftragsverarbeitung nach Art. 28 DSGVO.

Falls keine Vereinbarung getroffen wird greift trotzdem z.B. § 12 unserer AGBs in dem sich ITEG zur Geheimhaltung verpflichtet. Weiters arbeitet der österreichische Provider-Verband ISPA bei dem wir natürlich Mitglied sind, gemeinsam mit der österreichischen Datenschutzbehörde an einem Code-of-Conduct der dann auch für uns bindend sein wird.

Was passiert wenn sich Betroffene bzgl. Ihrer Rechte direkt an ITEG wenden?

Etwaige Anfragen von Betroffenen (Auskunft, Löschung, Einschränkung, ...) an uns werden immer an den Verantwortlichen weitergeleitet wobei gleichzeitig der Betroffenen darüber und über den Verwantwortlichen informiert wird.

Speichert ITEG IP-Adressen?

In Logfiles von Web-Servern und E-Mail-Adressen werden IP-Adressen gespeichert, um Nachforschungen bei technischen Probleme sowie Spam-Wellen und Angriffen (z.B. Wörterbuchattacken) zu ermöglichen.
Web-Server-Logs werden üblicherweise 6 Monate, E-Mail-Server-Logs 12 Monate aufbewahrt.

Die Zuordnung einer IP-Adresse in Web-Server-Logs zu einer natürlichen Person ist ohne zusätzliche technische und juristische Massnahmen nicht möglich und wird daher nicht als personenbezogenes Datum angesehen.

Ist ITEG für sicheren Umgang mit Daten zertifiziert?
Welche Technischen und Organisatorischen Maßnahmen werden bei ITEG getroffen?

ITEG lässt sich gerade nach ISO 27001 zertifizieren.

Solange das noch nicht abgeschlossen ist verweisen wir auf die vorläufige Übersicht der Technischen und Organisatorischen Maßnahmen (TOMs).

Disclaimer Alt-Software Betriebssysteme

Beim für Hosting eingesetzten Betriebssystem, Debian Linux, wird jede Generation nur für ca. 2-5 Jahre mit Updates versorgt. Gehostete Kundendienste (Webanwendungen, ...) müssen daher regelmäßig auf neuere virtuelle Server migriert werden um weiterhin sicher genug zu sein.

Für die Verarbeitung von Personenbezogenen Daten auf nicht mehr mit Sicherheits-Updates versorgten Betriebssystemen übernimmt ITEG keinerlei Verwantwortung.

Disclaimer Web-Anwendungen

Bei allen häufig eingesetzten Frameworks (WordPress, Typo3, u.v.a.) werden regelmäßig Sicherheitslücken bekannt. Auch individuell programmierte Web-Anwendungen enthalten 

Für die Verarbeitung von Personenbezogenen Daten mithilfe nicht aktuell gehaltener Frameworks o.ä. übernimmt ITEG keinerlei Verwantwortung.

Wer bei  ITEG hat Zugriff die gehosteten Daten?

Nur die Hosting-Admniistratoren von ITEG haben Zugriff auf die gehosteten Daten in ihrer rohen Form, d.h. auf Dateien und Datenbanken (aber normalerweise nicht auf z.B. Web-UIs zum einfachen Zugriff auf etwaige gespeicherte Personendaten).

ITEG-Administratoren müssen sich zum Zugriff auf Hosting-Server mit PIN-geschützten RSA-Keys auf Hardware-Token (yubikey neo) authentifizieren.

Der bei ITEG liegende Spiegel der Backups sowie die externen Generationen-Sicherungs-Medien sind LUKS-verschlüsselt (AES mit 512 bit), die zugehörigen Passwörter liegen in einer GPG-verschlüsselten Datei die wiederum nur über die Hardware-Tokens lesbar gemacht werden können und nie im Klartext auf einer SSD laden.

ITEG bzw. ITEG-Administratoren sind selbstverständlich zur Geheimhaltung verpflichtet, siehe dazu § 12 unserer AGBs.

Verarbeitet ITEG meine eigenen Daten?

Wir speichern Kunden-Daten nur soweit es zur Angebots-Legung, Verrechnung, und zur etwaigen Kontaktaufnahme notwendig ist.


  • No labels