Datenschutz FAQ

Last change on 2024-01-12 • Created on 2020-03-18 • ID: GE-82054

Einführung

Datenschutz ist uns ein großes Anliegen hier bei Hetzner. Dieser Artikel bietet Antworten auf häufige Fragen zu diesem Thema.

Webhosting, Managed Server

Welche Daten werden in den Logfiles gespeichert

Logfiles speichern unter anderem die IP-Adresse, den verwendeten Browser, Uhrzeit und Datum und das genutzte System eines Seitenbesuchers. Bei uns werden nur anonymisierte IP-Adressen von Besuchern der Website gespeichert. Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile standardmäßig statt der tatsächlichen IP-Adresse des Besuchers z.B. <123.123.123.123> eine IP-Adresse <123.123.123.XXX> gespeichert wird, wobei XXX ein Zufallswert zwischen 1 und 254 ist. Die Herstellung eines Personenbezuges ist nicht mehr möglich.

Wie lange werden Logfiles gespeichert

  • Mailserverlog: Vorhaltezeit sind 7 Tage
  • Apachelog: Speicherdauer kann der Kunde in der konsoleH selbst konfigurieren. Im Menüpunkt Einstellungen > Accountwartung können Sie den Löschzeitpunkt festlegen.
  • Backups: Werden 14 Tage in verschlüsselter Form aufbewahrt

Welche Daten werden erfasst bei AWStats und Report Magic

Bei den beiden Statistikprogrammen werden die Logfiles ausgewertet. Die Statistiken werden mit bereits anonymisierten Daten erstellt. Ein Personenbezug ist nicht herstellbar. Die beiden Programme laufen auf Ihrem eigenen Server/Webaccount.

Folgende Daten werden ausgewertet:

  • der verwendete Browsertyp und die Browserversion, (sofern vom Benutzer übermittelt!),
  • das Betriebssystem,
  • Datum und Uhrzeit der Serveranfrage,
  • die Anzahl der Besuche,
  • die Verweildauer auf der Website,
  • die vorher besuchte Website, (sofern vom Benutzer übermittelt!),
  • die IP-Adresse der Nutzer wird anonymisiert, bevor sie gespeichert wird.

Auftragsverarbeitung

Was ist ein Auftragsverarbeitungs-Vertrag (kurz: AV-Vertrag)?

Der AV-Vertrag bildet die Basis der Datensicherheit, wenn Sie die Verarbeitung von personenbezogenen Daten an einen Dienstleister wie Hetzner auslagern.

In dem AV-Vertrag werden die Rechte und Pflichten zwischen Ihnen als Verantwortlichen und Hetzner als Auftragsverarbeiter definiert. Hetzner verpflichtet sich hier bspw. auch dazu, dass wir die personenbezogenen Daten, die Sie uns zur Verfügung stellen, nur für die vereinbarten Zwecke verarbeiten. Wir verpflichten uns durch den AV-Vertrag ebenfalls zu umfassenden Schutzmaßnahmen bei der Verarbeitung der Daten. Einen Überblick dieser Maßnahmen (technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO) finden Sie in der Anlage 2 des AV-Vertrages.

Wann benötige ich einen AV-Vertrag?

Der AV-Vertrag ist gemäß Artikel 28 Absatz 3 DSGVO zwingend erforderlich, wenn Hetzner für Sie personenbezogene Daten verarbeitet. Kurz: Wenn auf Ihrem bei uns gemieteten Server personenbezogene Daten liegen. 

Ausnahme: Sofern Sie die personenbezogenen Daten ausschließlich zu privaten Zwecken verarbeiten, müssen Sie keinen AV-Vertrag abschließen.

Was sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO definiert. Kurzum sind personenbezogene Daten Informationen, die sich auf eine bestimmte Person beziehen. Zu diesen zählen Name, Adresse, E-Mail-Adresse, Geschlecht oder Kontonummer.

Wie kann ich mit Hetzner einen AV-Vertrag abschließen?

Das Muster zu unserem Auftragsverarbeitungs-Vertrag finden Sie unter: https://www.hetzner.com/AV/DPA_de.pdf oder https://www.hetzner.com/AV/DPA_en.pdf Sie können einen solchen AV-Vertrag ganz bequem in Ihrem Kundenkonto abschließen. Bitte klicken Sie für diese Option auf den folgenden Link: https://accounts.hetzner.com/account/dpa.

Einzelheiten zum Vertragsinhalt

Bei der Art der Daten kategorisieren Sie die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten. Sie können aus den vorgegebenen Datenarten auswählen oder eigene Datenarten hinzufügen. Der Kreis der Betroffenen bezieht sich auf die Gruppe von Personen, deren personenbezogene Daten im Rahmen der Verarbeitungstätigkeiten verarbeitet werden. Sie können auch hier aus den von uns vorgegebenen Beispielen wählen oder eigene Personengruppen definieren. Die Auflistung der Art der Daten und des Kreises der Betroffenen finden Sie nach Vertragsabschluss in Anlage 1 Ihres AV-Vertrages.

Falls sich nach Abschluss des Vertrages die Art der Daten und/oder der Kreis der Betroffenen ändert, können Sie: Variante 1: den bereits bestehenden Vertrag über das Papierkorbsymbol löschen und einen neuen Vertrag anlegen oder Variante 2: zusätzlich zu dem bestehenden AV-Vertrag einen weiteren Vertrag erstellen. Insgesamt sind gleichzeitig bis zu sechs Verträge möglich.

Muss ich den AV-Vertrag unterschreiben?

Eine Unterschrift durch Sie ist an dieser Stelle nicht zwingend notwendig, da Sie Ihr Einverständnis bereits bei Abschluss des Vertrages über die Checkbox im Kundenaccount abgegeben haben.

Unser Unternehmen hat einen eigenen AV-Vertrag - wem sende ich diesen zur Unterschrift zu?

Einen AV-Vertrag können Sie über den folgenden Link mit uns abschließen: https://accounts.hetzner.com/account/dpa.

Informationen zum Datenschutz und zu unseren Standorten in den USA

Die Hetzner US LLC stellt, als Tochterunternehmen der Hetzner Online GmbH, Rechenzentrumsdienstleistungen für die Muttergesellschaft innerhalb der USA zur Verfügung. Das heißt ihre bisherige Vertragsgrundlage und Kundenverbindung ist weiterhin ausschließlich mit uns (Hetzner Online GmbH), eine Weitergabe Ihrer persönlichen Daten findet nicht statt.

Folgende Beispiele haben wir zur Veranschaulichung für Sie vorbereitet:

Fallbeispiel 1: Kunde mietet ausschließlich Produkte mit Standort EU (in Deutschland und/oder Finnland) Die Serverstandorte Ashburn (USA) und Hillsboro (USA) bleiben in diesem Beispiel außen vor. Ihre Kundenstammdaten werden innerhalb Deutschlands (EU) gespeichert und verarbeitet.

Fallbeispiel 2: Kunde mietet Produkte innerhalb der EU und in den USA Ihre Kundenstammdaten werden weiterhin ausschließlich innerhalb Deutschlands (EU) gespeichert und verarbeitet. Daran hat sich durch die Standorte in den USA nichts geändert. Um Ihnen auch nach dem Schrems-II Urteil eine DSGVO konforme Nutzung der Server an den Standorten Ashburn und Hillsboro zu ermöglichen, schließt die Hetzner Online GmbH mit Hetzner US LLC die sogenannten Standardvertragsklauseln ab.

Welche Daten auf den Instanzen in den USA abgelegt werden und ob diese ggf. als Absicherung verschlüsselt werden obliegt Ihnen als Kunde. Behördliche Anfragen haben wir regelmäßig. Wir nehmen an, dass es auch dazu aus den USA oder über Rechtshilfeersuchen kommen kann, sollten Sie die Server zu illegitimen Zwecken nutzen. In diesem Fall – und nur in diesem – sind Behörden zur internationalen Zusammenarbeit auf Grundlage von Abkommen verpflichtet. In den verlinkten Standardvertragsklauseln sind dabei die Pflichten der involvierten Parteien geregelt.

Ein Direktzugriff von US Behörden auf Ihre Serverinhalte in der EU ist nicht gegeben. US Behörden haben die Regularien der EU-Gesetzgebung einzuhalten. Das bedeutet konkret:

Für unsere Rechenzentren in Falkenstein und Nürnberg: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von deutschen Behörden und deutschen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur deutschen Behörden mit einem gültigen deutschen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass deutsche Behörden die nach deutschem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Für unser Rechenzentrum in Helsinki: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von finnischen Behörden und finnischen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur finnische Behörden mit einem gültigen finnischen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass finnische Behörden die nach finnischem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Schlussfolgerung: Schlussfolgerung: Zusammenfassend lässt sich festhalten, dass Sie als Kunde - bis zu einem gewissen Grad – Einfluss darauf haben haben, wer auf Ihre Serverdaten zugreifen kann. Allerdings besteht selbst bei ausschließlich in Europa gespeicherten Daten keine 100%ige Sicherheit vor Zugriffen durch behördliche Anfragen und/oder Gerichtsbeschlüsse. Wenn Sie sich für ein Unternehmen entscheiden möchten, das keinerlei Verbindung zu den USA hat, müssen wir diesbezüglich leider ab sofort passen. Durch die Hetzner US LLC ist eine gewisse Verbindung durchaus gegeben. Die Auswirkungen dieser Verbindung haben wir in unseren beiden Fallbeispiele versucht aus unserer Sicht darzustellen.

Noch Fragen? Wir beantworten sie Ihnen gerne persönlich

Wenn Sie weitere Fragen zum AV-Vertrag haben, helfen wir Ihnen gerne weiter. Bitte kontaktieren Sie unser Datenschutz-Team unter data-protection@hetzner.com.

Table of Contents