Die Leistung von lima-city ist es, Dir Webspace und damit Speicherplatz, Datenbanken und Zugänge zu unseren Servern bereitzustellen. Die Wartung, Weiterentwicklung und Administration dieser Serversysteme ist unsere Aufgabe. Auf diesem Speicherplatz werden von Dir in den meisten Fällen personenbezogene Daten verarbeitet, gespeichert oder genutzt. Wenn nun lima-city mit diesen Daten im Rahmen der Wartung, Entwicklung und Administration "in Berührung" kommt, verwaltet lima-city diese Daten "im Auftrag" - damit liegt eine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO vor. Trotzdem bist Du der alleinige Verantwortliche für die Daten ("verantwortliche Stelle") und musst Dich um die Einhaltung aller gesetzlichen Pflichten zum Datenschutz kümmern.
Siehe Art. 4 DSGVO: „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Einfach gesagt: kann man theoretisch mit den Daten herausfinden, zu welcher Person sie gehört, selbst wenn man dafür eine Menge Aufwand treiben muss? Ja? Dann handelt es sich um personenbezogene Daten!
Der Vertrag ist notwendig, wenn eine Auftragsdatenverarbeitung im Sinne des Gesetzes vorliegt - das ist nicht bei allen Webhosting-Leistungen der Fall. Wenn nur Domains registriert werden - ohne, dass der E-Mail-Server verwendet wird und keine Webseite auf unseren Servern betrieben wird - muss es sich nicht um eine Auftragsdatenverarbeitung handeln. Es werden schließlich keine personenbezogenen Daten von Dritten von lima-city im Auftrag des Kunden verarbeitet.
Ja. Ohne die temporäre Protokollierung von IP-Adressen und den Abgleich mit Sperrlisten im Rahmen von Sicherheitssystemen ist der sichere Betrieb von Serversystemen nicht möglich. Die IP-Adressen werden dabei nach Möglichkeit anonymisiert und in einem angemessen kurzen Zeitrahmen gespeichert (i.d.R. 7 Tage oder kürzer).
Ja, davon muss immer ausgegangen werden.
Nein, keinesfalls! Das Gesetz fordert für Auftragsverarbeitung einen eigenständigen Vertrag (DGVO Art. 28) zwischen Webhoster (Auftragnehmer) und Auftraggeber (Du).
Das kommt darauf an: Kunden mit kostenpflichtigem Webhosting-Paket erhalten den Vertrag als Inklusiv-Leistung in ihrem Paket. Kunden mit kostenlosem Webspace hingegen haben die Möglichkeit den Vertrag gegen eine Gebühr von 10 €/Jahr (inkl. USt) abzuschließen.
Bitte fülle den Vertrag in der Verwaltung unter "ADV-Vertrag" aus. Dazu musst Du anführen, welche Arten von Daten und über wen Du die Daten speicherst. Einige gängige Fälle haben wir vorausgefüllt. Du speicherst absolut nichts? Dann gib einfach zweimal "keine" an, und fertig. Siehe auch unsere Ausfüllhilfe zum ADV-Vertrag und den Muster-Vertrag.
Es ist nicht notwendig uns den unterschriebenen Vertrag zuzuschicken!
Der Art. 2 Abs. 2 Nr. c sagt, dass "zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" die Verordnung nicht angewendet werden muss. In Erwägungsgrund Nr. 18 steht aber dazu, "Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.".
Es lässt sich also in dem Fall für "ja" und "nein" argumentieren. Welche Interpretation Du sinnvoll erhälst überlassen wir Dir - denn Verantwortlicher für die Verarbeitung der Daten bist Du, nicht wir. Unsere Empfehlung ist, den Vertrag abzuschließen - dann bist Du auf der sicheren Seite. Im Zweifelsfall wende Dich bitte an einen Rechtsanwalt oder Rechtsberater.
Der Landesbauftragte für Datenschutz (die zuständige Aufsichtsbehörde) hat unsere Auffassung übrigens bestätigt.
Nein. Verantwortlicher im Sinne des Gesetzes bist Du, nicht wir. Wir halten es wie immer und stellen Dir die Werkzeuge zur Verfügung, die Du für den Betrieb Deiner Webseite brauchst. Wir zwingen Dich nicht dazu, die EU-DSGVO einzuhalten oder unserer Interpretation zu folgen, das ist nur eine Empfehlung. Wir werden Dich nicht kündigen und Deine Webseite nicht deaktivieren. Es kann ja genauso gut sein, dass Du von der Verordnung ausgenommen bist.
Das kann man durchaus so sehen. Man kann aber auch sagen "die Verarbeitung von personenbezogenen Daten ist nicht mehr kostenlos" - man kann sicher darüber diskutieren, ob das gut oder schlecht ist, jedenfalls schafft es erst einmal Bewusstsein für Daten, und das ist auf jeden Fall gut. Zudem musst Du den Vertrag nicht abschließen und wir zwingen Dich zu nichts. Wenn Du eine andere Rechtsauffassung hast: okay. Aber zumindest wer professionell, für sein Gewerbe/Geschäft oder beruflich personenbezogene Daten verarbeitet sollte sich schon überlegen, ob er nicht dafür auch angemessenen Schutz organisieren möchte und sich an Recht und Gesetz hält. Dann ist nämlich ein kostenloser Webspace nicht das ideale, sondern ein professionelles Webhosting-Paket ist angemessener. In den kostenpflichtigen Paketen stecken nämlich wirkliche viel sinnvolle Leistungen und viel Arbeit.
Ein Vertragsmuster kann in der Verwaltung eingesehen werden: Muster-Vertrag
Das macht kaum einen Unterschied: maßgeblich ist, ob Du Daten von bzw. über EU-Bürger speicherst. Nicht, wo Du wohnst oder den Firmensitz hast. Auch z.B. US-Unternehmen, die in der EU Geschäfte machen und dabei Daten von EU-Bürgern speichern, fallen unter die Verordnung.
Der Gesetzgeber schreibt einem ständig Dinge vor, die auf den ersten Blick unsinnig und nervig sind: Waagen müssen vom Eichamt kontrolliert werden, Gewerbe müssen angemeldet werden, in Restaurants und Lebensmittelbetrieben kommt das Veterinäramt und kontrolliert Lebensmittelsicherheit, am Arbeitsplatz gibt es Unfallverhütungsvorschriften, Autos müssen zum TÜV, man muss sogar Daten über finanzielle Transaktionen aufbewahren, in ein besonderes Format bringen und regelmäßig einer Behörde vorlegen (so genannte "Steuererklärung"). Da ist eine weitere Regulierung - die vollkommen notwendig ist, wenn man in den Medien sieht, wie mit unseren Daten herumgesaut wird, nicht so schlimm, oder?