Hilfe & Kontakt
Schnell einen Anwalt fragen:
 Antworten,  Anwaltsbewertungen
490.452
Registrierte
Nutzer
Anwalt? Hier lang

1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

VPN-Anbieter Weltweit - Datenschutzgrundverordnung


12.05.2018 18:26 |
Preis: 70,00 € |

Datenschutzrecht


Beantwortet von



Hallo,

wir erbringen als in Deutschland ansässiges Unternehmen VPN (Virtal Private Network) Dienstleistungen für Privatkunden. Dazu betreiben wir Server in zahlreichen Ländern innerhalb und außerhalb der EU. Der Nutzer kann sich frei entscheiden, zu welchem Server die VPN-Verbindung aufgebaut werden soll. Um die Benutzer auf den Servern technisch zu authentifizieren/authorisieren, werden die user-ids auf dem jeweiligen Server gespeichert, zu dem der Nutzer Zugang haben möchte.

Die Server sind teilweise dedizierte Hardware-Server und teilweise virtuelle Server, die wir bei verschiedensten Anbietern anmieten.

Welche Voraussetzungen müssen wir erfüllen, damit dieser Sachverhalt die Anforderungen der DSGVO erfüllt?

- Aufnahme im Verzeichnis der Verarbeitungstätigkeiten ?
- Aufnahme in die Datenschutzerklärung?
- Nur machbar unter besonderen Voraussetzungen, (z.B. Privacy-Shield-Zertifizierung des Server-Anbieters oder die verschlüsselte Speicherung dieser Daten)
- etc. ?

Bitte geben Sie für alle nötigen Lösungsvorschläge konkrete Beispiele zur rechtssicheren Umsetzung an.


Wir freuen uns auf Ihre Antwort.

Mit freundlichen Grüßen

Einsatz editiert am 12.05.2018 19:37:29
15.05.2018 | 08:10

Antwort

von


78 Bewertungen
Kapitelshof 36
53229 Bonn
Tel: 0228 / 90 888 32
Web: http://www.dietrich-legal.de
E-Mail:
Diesen Anwalt zum Festpreis auswählen Zum Festpreis auswählen

Sehr geehrter Fragesteller,

Ihre Anfrage möchte ich Ihnen auf Grundlage der angegebenen Informationen wie folgt beantworten:

Sofern nur User-IDs gespeichert werden, sin dies nur dann personenbezogene Daten, wenn die ID mit einem echten Namen oder der E-Mailadresse verknüpft ist. Ich gehe jedoch davon aus, dass auch IP-Adressen geloggt werden oder andere personenbezogene Daten verarbeitet werden von Ihnen, die im Zusammenhang mit der Durchführung des Vertrages stehen (z.B. zur Abrechnung).

Sie müssen dann ein Verzeichnis über die Verarbeitungstätigkeiten erstellen und auch aktuell halten. Darin halten Sie fest welche Daten Sie wie und zu welchem Zweck wie lange speichern, an wen Sie die Daten weitergeben und welche technisch und organisatorischen Maßnahmen Sie treffen für den Datenschutz.

In der Datenschutzerklärung regeln Sie nur das, was auf Ihrer Webseite bzw. dem eigenen Server an Daten verarbeitet wird (z.B. Kontaktformular, Google Analytics, Newsletter, Facebook Like, Google Fonts, Paypal etc.).

Wenn Sie auch externe Hoster anmieten, sind diese Auftragsverarbeiter. Daher müssen Sie mit dem jeweiligen Hoster einen Vertrag über die Auftragsverarbeitung abschließen (AV-Vertrag). Der AV-Vertrag kann bei einigen Hostern schon elektronisch durch Klick im Admin Panel abgeschlossen werden (derzeit strittig ob dies zulässig ist) oder aber schriftlich / Scan per E-Mail. Wenn der Hoster noch keinen Vertrag anbietet, können Sie sich etwa hier ein kostenloses Muster herunterladen: https://www.activemind.de/datenschutz/dokumente/av-vertrag/

Wenn die Server außerhalb der USA sitzen, dann müssen diese dem Privacy Shield beigetreten sein oder diese sitzen in einem sicheren Datenschutzland, das von der EU anerkannt wurde (z.B. Schweiz, Kanada). Als nicht sicher gelten aber Länder wie die USA, China und Russland und dort dürften die meisten Nicht-EU Server stationiert sein. Ob ein Anbieter nach dem Privacy Shield zertifiziert ist, können Sie selbst einfach hier recherchieren: https://www.privacyshield.gov/participant_search

Die Verbindungen müssen zusätzlich verschlüsselt sein, also SSL Zertifikate eingerichtet werden. Wenn Sie auch Mitarbeiter haben, müssen Sie diese zusätzlich zur Einhaltung des Datenschutzes verpflichten und eine Einwilligung zur Verarbeitung der eigenen Daten einholen.


Ich hoffe, Ihre Frage verständlich beantwortet zu haben und bedanke mich für das entgegengebrachte Vertrauen.

Mit freundlichen Grüßen
Alexander Dietrich
Rechtsanwalt


Nachfrage vom Fragesteller 16.05.2018 | 21:35

Sehr geehrter Herr Dietrich,

vielen Dank für Ihre Ausführungen. Ich würde noch gerne ein paar Details klären:

Sie schrieben:
Sofern nur User-IDs gespeichert werden, sin dies nur dann personenbezogene Daten, wenn die ID mit einem echten Namen oder der E-Mailadresse verknüpft ist. Ich gehe jedoch davon aus, dass auch IP-Adressen geloggt werden oder andere personenbezogene Daten verarbeitet werden von Ihnen, die im Zusammenhang mit der Durchführung des Vertrages stehen (z.B. zur Abrechnung).

Meine Frage dazu:
Wir unterscheiden hier zwischen 1) dem Haupt-Server, der zwar personenbezogene Daten wie echte Personennamen, Abrechnungs-/Vertragsdaten und E-Mail-Adressen enthält und 2) den eigentlichen VPN-Servern, auf denen der Service erbracht wird.

Der unter 1) genannte Server steht in Deutschland, mit dem Hoster besteht ein AV-Vertrag und somit ist hier meiner Meinung nach aus DSGVO-Sicht alles in Ordnung (aktuelle Datenschutzerklärung, AGB, ROPA, TOMS, etc. liegt alles vor, Prozess zur routinemäßigen Löschung sind vorhande, etc.).

Problematisch wird es nun bei den unter 2) genannten VPN-Servern, die sich auf der ganzen Welt befinden.

Zunächst muss ich sagen, dass wir dort aktiv keine IP-Adressen oder Verbindungsdaten loggen/speichern, aber selbstverständlich wird auf dem VPN-Server die IP-Adresse "verarbeitet", da dies für eine normale Internet/Netzwerkverbindung ja bereits nötig wird.
Zählt in diesem Fall trotzdem die IP-Adresse bereits als "persönliches Datum"?


Angenommen wir erfinden ein technisches Verfahren, das es uns gestattet, darauf zu verzichten, die User-IDs auf den Vpn-Servern abzuspeichern (für den beschriebenen Freischaltprozess) - und zwar in einer Weise, dass kein "Mapping" herstellbar ist darüber, welcher Nutzer gerade für die Nutzung auf einem Server freigeschaltet ist - würde uns dies von der Pflicht für AV-Verträge und Privacy-Shield-Zertifizierungen befreien? (Die Idee ist, auf den VPN-Servern möglichst gar keine personenbezogenen Daten mehr zu haben).

Antwort auf die Nachfrage vom Anwalt 16.05.2018 | 22:42

Vielen Dank für Ihre Rückmeldung.

Ja, die IP-Adresse wäre ein persönliches Datum, solange sie nicht anonymisiert ist (letzte Stelle durch 0 ersetzen)

Wenn Sie tatsächlich verhindern können, dass personenbezogene Daten verarbeitet werden, dann wären Sie aus allen Pflichten raus beim VPN

Viele Grüße
Alexander Dietrich
Rechtsanwalt


Wir
empfehlen

Sind Sie auf die neuen Datenschutz Regeln vorbereitet?

Die Datenschutz-Grundverordnung (DSGVO) steht vor der Tür und stellt Anbieter im Internet und offline vor neue Herausforderungen. Ein Rechtsanwalt für Datenschutzrecht prüft, ob Ihre Webseite und Datenschutzerklärung im Einklang mit der DSGVO ist.

Jetzt loslegen
ANTWORT VON

78 Bewertungen

Kapitelshof 36
53229 Bonn
Tel: 0228 / 90 888 32
Web: http://www.dietrich-legal.de
E-Mail:
RECHTSGEBIETE
Arbeitsrecht, Miet und Pachtrecht, Vertragsrecht, Internet und Computerrecht, Strafrecht, Gewerblicher Rechtsschutz, Baurecht
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 62327 Bewertungen)
Aktuelle Bewertungen
4,6/5,0
Im Gegensatz zu anderen web infos eine jursitisch klare und direkte Antwort! ...
FRAGESTELLER
5,0/5,0
Hilfreiche und klare Antwort auf meine Frage. ...
FRAGESTELLER
5,0/5,0
Schnell, hilfreich und klar. ...
FRAGESTELLER