Hilfe & Kontakt
Schnell einen Anwalt fragen:
 Antworten,  Bewertungen
499.757
Registrierte
Nutzer
Anwalt? Hier lang

1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

VPN-Anbieter Weltweit - Datenschutzgrundverordnung

12.05.2018 18:26 |
Preis: 70,00 € |

Datenschutzrecht


Beantwortet von

Rechtsanwalt Alexander Dietrich


Hallo,

wir erbringen als in Deutschland ansässiges Unternehmen VPN (Virtal Private Network) Dienstleistungen für Privatkunden. Dazu betreiben wir Server in zahlreichen Ländern innerhalb und außerhalb der EU. Der Nutzer kann sich frei entscheiden, zu welchem Server die VPN-Verbindung aufgebaut werden soll. Um die Benutzer auf den Servern technisch zu authentifizieren/authorisieren, werden die user-ids auf dem jeweiligen Server gespeichert, zu dem der Nutzer Zugang haben möchte.

Die Server sind teilweise dedizierte Hardware-Server und teilweise virtuelle Server, die wir bei verschiedensten Anbietern anmieten.

Welche Voraussetzungen müssen wir erfüllen, damit dieser Sachverhalt die Anforderungen der DSGVO erfüllt?

- Aufnahme im Verzeichnis der Verarbeitungstätigkeiten ?
- Aufnahme in die Datenschutzerklärung?
- Nur machbar unter besonderen Voraussetzungen, (z.B. Privacy-Shield-Zertifizierung des Server-Anbieters oder die verschlüsselte Speicherung dieser Daten)
- etc. ?

Bitte geben Sie für alle nötigen Lösungsvorschläge konkrete Beispiele zur rechtssicheren Umsetzung an.


Wir freuen uns auf Ihre Antwort.

Mit freundlichen Grüßen

Einsatz editiert am 12.05.2018 19:37:29

Sehr geehrter Fragesteller,

Ihre Anfrage möchte ich Ihnen auf Grundlage der angegebenen Informationen wie folgt beantworten:

Sofern nur User-IDs gespeichert werden, sin dies nur dann personenbezogene Daten, wenn die ID mit einem echten Namen oder der E-Mailadresse verknüpft ist. Ich gehe jedoch davon aus, dass auch IP-Adressen geloggt werden oder andere personenbezogene Daten verarbeitet werden von Ihnen, die im Zusammenhang mit der Durchführung des Vertrages stehen (z.B. zur Abrechnung).

Sie müssen dann ein Verzeichnis über die Verarbeitungstätigkeiten erstellen und auch aktuell halten. Darin halten Sie fest welche Daten Sie wie und zu welchem Zweck wie lange speichern, an wen Sie die Daten weitergeben und welche technisch und organisatorischen Maßnahmen Sie treffen für den Datenschutz.

In der Datenschutzerklärung regeln Sie nur das, was auf Ihrer Webseite bzw. dem eigenen Server an Daten verarbeitet wird (z.B. Kontaktformular, Google Analytics, Newsletter, Facebook Like, Google Fonts, Paypal etc.).

Wenn Sie auch externe Hoster anmieten, sind diese Auftragsverarbeiter. Daher müssen Sie mit dem jeweiligen Hoster einen Vertrag über die Auftragsverarbeitung abschließen (AV-Vertrag). Der AV-Vertrag kann bei einigen Hostern schon elektronisch durch Klick im Admin Panel abgeschlossen werden (derzeit strittig ob dies zulässig ist) oder aber schriftlich / Scan per E-Mail. Wenn der Hoster noch keinen Vertrag anbietet, können Sie sich etwa hier ein kostenloses Muster herunterladen: https://www.activemind.de/datenschutz/dokumente/av-vertrag/

Wenn die Server außerhalb der USA sitzen, dann müssen diese dem Privacy Shield beigetreten sein oder diese sitzen in einem sicheren Datenschutzland, das von der EU anerkannt wurde (z.B. Schweiz, Kanada). Als nicht sicher gelten aber Länder wie die USA, China und Russland und dort dürften die meisten Nicht-EU Server stationiert sein. Ob ein Anbieter nach dem Privacy Shield zertifiziert ist, können Sie selbst einfach hier recherchieren: https://www.privacyshield.gov/participant_search

Die Verbindungen müssen zusätzlich verschlüsselt sein, also SSL Zertifikate eingerichtet werden. Wenn Sie auch Mitarbeiter haben, müssen Sie diese zusätzlich zur Einhaltung des Datenschutzes verpflichten und eine Einwilligung zur Verarbeitung der eigenen Daten einholen.


Ich hoffe, Ihre Frage verständlich beantwortet zu haben und bedanke mich für das entgegengebrachte Vertrauen.

Mit freundlichen Grüßen
Alexander Dietrich
Rechtsanwalt

Nachfrage vom Fragesteller 16.05.2018 | 21:35

Sehr geehrter Herr Dietrich,

vielen Dank für Ihre Ausführungen. Ich würde noch gerne ein paar Details klären:

Sie schrieben:
Sofern nur User-IDs gespeichert werden, sin dies nur dann personenbezogene Daten, wenn die ID mit einem echten Namen oder der E-Mailadresse verknüpft ist. Ich gehe jedoch davon aus, dass auch IP-Adressen geloggt werden oder andere personenbezogene Daten verarbeitet werden von Ihnen, die im Zusammenhang mit der Durchführung des Vertrages stehen (z.B. zur Abrechnung).

Meine Frage dazu:
Wir unterscheiden hier zwischen 1) dem Haupt-Server, der zwar personenbezogene Daten wie echte Personennamen, Abrechnungs-/Vertragsdaten und E-Mail-Adressen enthält und 2) den eigentlichen VPN-Servern, auf denen der Service erbracht wird.

Der unter 1) genannte Server steht in Deutschland, mit dem Hoster besteht ein AV-Vertrag und somit ist hier meiner Meinung nach aus DSGVO-Sicht alles in Ordnung (aktuelle Datenschutzerklärung, AGB, ROPA, TOMS, etc. liegt alles vor, Prozess zur routinemäßigen Löschung sind vorhande, etc.).

Problematisch wird es nun bei den unter 2) genannten VPN-Servern, die sich auf der ganzen Welt befinden.

Zunächst muss ich sagen, dass wir dort aktiv keine IP-Adressen oder Verbindungsdaten loggen/speichern, aber selbstverständlich wird auf dem VPN-Server die IP-Adresse "verarbeitet", da dies für eine normale Internet/Netzwerkverbindung ja bereits nötig wird.
Zählt in diesem Fall trotzdem die IP-Adresse bereits als "persönliches Datum"?


Angenommen wir erfinden ein technisches Verfahren, das es uns gestattet, darauf zu verzichten, die User-IDs auf den Vpn-Servern abzuspeichern (für den beschriebenen Freischaltprozess) - und zwar in einer Weise, dass kein "Mapping" herstellbar ist darüber, welcher Nutzer gerade für die Nutzung auf einem Server freigeschaltet ist - würde uns dies von der Pflicht für AV-Verträge und Privacy-Shield-Zertifizierungen befreien? (Die Idee ist, auf den VPN-Servern möglichst gar keine personenbezogenen Daten mehr zu haben).

Antwort auf die Nachfrage vom Anwalt 16.05.2018 | 22:42

Vielen Dank für Ihre Rückmeldung.

Ja, die IP-Adresse wäre ein persönliches Datum, solange sie nicht anonymisiert ist (letzte Stelle durch 0 ersetzen)

Wenn Sie tatsächlich verhindern können, dass personenbezogene Daten verarbeitet werden, dann wären Sie aus allen Pflichten raus beim VPN

Viele Grüße
Alexander Dietrich
Rechtsanwalt


Wir
empfehlen

Datenschutzerklärung nach neuer DSGVO

Vorlage Datenschutzerklärung - Erstellen Sie mit dem interaktiven Muster für Datenschutz im Internet Ihre individuelle Datenschutzerklärung.

Jetzt erstellen
FRAGESTELLER 30.12.1899 /5,0
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 64106 Bewertungen)
Aktuelle Bewertungen
5,0/5,0
Der Rechtsanwalt war sehr Kompetent! Er hat mir sehr geholfen. Ich kann ihn nur weiter empfehlen! ...
FRAGESTELLER
5,0/5,0
Alles war für mich in Ordnung. Schnell und in einer verständlichen Ausdrucksart. Super - so soll es sein. Danke ! ...
FRAGESTELLER
5,0/5,0
Meine Frage wurde ausführlich beantwortet und es wurde eine neue Möglichkeit aufgezeigt, diesen "Fall" evtl zu lösen. Vielen Dank dafür ...
FRAGESTELLER