DSGVO Welche Daten von Besuchern meiner Website

Hallo,

wenn Besucher auf meine Website gehen, welche Informationen werden von bplaced gespeichert ? Zb. Browser, betriebssystem usw.?

Mal ein Beispiel wie es in generatoren angegeben wird, aber man muss es ja je nach Webhoster anpassen:
Wir, bzw. unser Hostinganbieter, erhebt auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Logfile-Informationen werden aus Sicherheitsgründen (z.B. zur Aufklärung von Missbrauchs- oder Betrugshandlungen) für die Dauer von maximal 7 Tagen gespeichert und danach gelöscht. Daten, deren weitere Aufbewahrung zu Beweiszwecken erforderlich ist, sind bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.

Erstellt mit Datenschutz-Generator.de von RA Dr Thomas Schwenke

Das brauchst du garnicht angeben…

Du kannst dort: https://my.bplaced.net/auftragsverarbeitung
Einen Vertrag zur Auftragsdatenverarbeitung herunterladen und unterschreiben. Den legst du dann zu deinen Unterlagen und gut ist

Herunterladen und unterschreiben muss man ihn nicht. Es reicht, den Auftrag zu besitzen.

Das ist falsch. Ohne Unterschrift ist der Vertrag nicht gültig.
Solche Verträge sind nur mit Unterschrift gültig…

(Vornweg: ich bin auch kein Anwalt)
Aber: Die Vereinbarung zur Auftragsverarbeitung und die Datenschutzerklärung auf einer hier gehosteten Webseite sind zwei verschiedene Dinge.

Mit der Vereinbarung zur Auftragsverarbeitung garantiert der Auftragsverarbeiter, also bplaced, dass seine Dienste, die Gegenstand des Vertrages (Webhosting) sind, den Anforderungen der DSGVO entsprechen. Sprich, dass wenn zum Beispiel bestimmte Tools, Server, etc. in bestimmten “Drittländern” laufen, diese ebenfalls DSGVO-“genormt” arbeiten.

Die Vereinbarung zur Auftragsverarbeitung zwischen dir und bplaced ist also zunächst nur für dich eine Absicherung.
Und dann, in dem Fall, wo du auf deinem Webspace z.B. ein Forum oder eine Webseite mit Registrierungs-Funktion betreibst, ist diese Vereinbarung eine Information, die du so gesehen deinen Nutzern weitergeben kannst/sollst(?), dass diese sich wiederum sicher sein können, dass sowohl du, der die MySQL Datenbank adminsitriert, als auch der Webhoster, auf dem diese Datenbank im Endeffekt liegt, ihr euch beide an die DSGVO haltet.

Und das steht dann in der Datenschutzerklärung deiner Webseite bzw. deines Forums.

Um zur eigentlichen Frage zu kommen:

Wir, bzw. unser Hostinganbieter, erhebt auf Grundlage unserer berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f. DSGVO Daten über jeden Zugriff auf den Server, auf dem sich dieser Dienst befindet (sogenannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Sofern hier die Standartkonfiguration des Apache (Webserver-Service) verwendet wird, dann treffen all diese Daten auch hier zu, und die Zeilen können so belassen werden.

So ein Eintrag aus der Apache access.log sieht z.B. so aus:

127.0.0.1 - [10/Oct/2000:13:55:36 -0700] "GET /apache_pb.gif HTTP/1.1" 200 2326 "http://www.example.com/start.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36"

• 127.0.0.1 IP-Adresse des Nutzers und der anfragende Provider
• [10/Oct/2000:13:55:36 -0700] Datum und Uhrzeit des Abrufs
• GET Anfrage-Typ
• /apache_pb.gif Name der abgerufenen Webseite, Datei
• HTTP/1.1 Protokoll
• 200 HTTP-Status-Code (Meldung über erfolgreichen Abruf)
• 2326 übertragene Datenmenge
• "http://www.example.com/start.html" Referrer URL (die zuvor besuchte Seite).
• "Mozilla/4.08 [en] (Win98; I ;Nav)" Browsertyp nebst Version, das Betriebssystem des Nutzers.

PS (bzgl. Abgrenzung): Auch zwischen bplaced und dem Anbieter, der die Server-Hardware verwaltet (Hetzner?), wird es eine Vereinbarung zur Auftragsverarbeitung geben, trotzdem benötigt auch bplaced eine eigene Datenschutzerklärung.

Die oben beschriebene “Vereinbarung zur Auftragsverarbeitung” ist leider unbrauchbar und falsch. Darin steht nämlich

Die Art der personenbezogenen Daten (nach Art. 4 Nr. 1, 13, 14 und 15 DSGVO), sowie die Kategorienbetroffener Personen (nach Art. 4 Nr. 1 DSGVO) sind in Anlage 2 erläutert.

Das wäre soweit ja noch OK, obwohl das ganze offensichtlich überflüssig umständlich, lang und unübersichtlich geschrieben wurde. Aber nach Anlage 1 hört die “Vereinbarung zur Auftragsverarbeitung” auf. Da gibt es keine Anlage 2.

Dazu kommt, dass man nur das Muster bekommt. Der Link, mit dem man angeblich die “Vereinbarung zur Auftragsverarbeitung” herunterladen kann, ist unbrauchbar. Vorher muss man nämlich “Angaben zum Vertragspartner” machen und dazu einen Link zu einem Formular benutzen, in das man diese Daten einträgt. Danach erfährt man:

Eine Vereinbarung zur Auftragsverarbeitung nach der Datenschutz-Grundverordnung (DSGVO) wird gerne auf Anfrage erstellt.

Dabei enthält die Zeichenkette “auf Anfrage” einen Link, der wieder zu der Seite führt, von der man gekommen ist. Man kann also weder die Anfrage abschicken, noch bekommt man eine Möglichkeit an die Vereinbarung zur Auftragsverarbeitung zu kommen.

Ich weiß nicht wo dein Problem ist, ist habe die Erklärung bereits runtergeladen inklusive Anlage2.

vereinbarung.png1459×793 106 KB

1. Deine Kontaktdaten im Account hinterlegen.
2. Datenarten und betroffene Personengruppen angeben.
3. Vereinbarung (Muster) lesen, verstehen und dies bestätigen.
4. Vereinbarung erstellen.
5. Vereinbarung herunterladen.

Und (da es in diesem Thread eigentlich um das Thema „Datenschutzerklärung“ geht) hier nochmal:
Die Vereinbarung zur Auftragsverarbeitung ersetzt nicht die Datenschutzerklärung.

Aber der Vereinbarung kann man entnehmen, was in der Datenschutzerklärung angegeben werden muss. Richtig? Ansonsten müsste man es in der Datenschutzerklärung von bplaced finden können. https://www.bplaced.net/datenschutz

Nicht direkt. Was in die Datenschutzerklärung einer Webseite gehört, findet man theoretisch in den Artikeln der DSGVO.
Praktisch werden sich die wenigsten das komplette Paket durchlesen.
Dafür gibt es für uns “kleinen Leute” praktische Datenschutz-Generatoren, wie z.B der schon genannte, von der Kanzlei Dr. Schwenke: https://datenschutz-generator.de/
Ansonsten, wenn man etwas ernsteres betreibt, sollte man sich einen Anwalt zu Rate ziehen.

Das wichtigste im Endeffekt ist aber auch, dass man sich, als Webseite-Betreiber, auch an die Gesetze (bzw. den Angaben in seiner Datenschutzerklärung) hält. Also u.a. z.B. keine IPs von seinen registrierten Nutzern länger als 7 Tage aufbewahrt/speichert.

Ich meinte, dort findet man welche Daten der Webhoster in den Serverlogfiles speichert und für welchen Zeitraum und somit in der Erklärung angegeben werden müssen.

Speziell dieser Absatz, dass bplaced die Logfiles eventuell länger als 7 Tage speichert.

Achso, joah.

Also die Datenschutzerklärung (https://www.bplaced.net/datenschutz) betrifft nur die Daten der Nutzer dieser Webseite, also im weiteren Sinne die der Kunden von bplaced.
Nicht aber die Daten der Kunden von den Kunden…

Ja, das ist dann sozusagen in der Vereinbarung zur Auftragsverarbeitung zwischen euch… vereienbart.

Man kann sich also seine Datenschutzerklärung mit dem Generator erstellen, und dann, anhand der mit bplaced getroffenen Vereinbarung zur Auftragsverarbeitung, prüfen, ob alle Angaben der beiden Dokumente zusammenpassen, und dann ggf. Anpassungen an der Datenschutzerklärung vornehmen.