Datenschutz bei Hetzner

Last change on 2020-03-18 • Created on 2020-03-18 • ID: GE-FBBCD

In diesem Artikel beantworten wir häufige Fragen zum Thema Datenschutz bei Hetzner. Unsere Datenschutzhinweise findest du unter https://www.hetzner.com/de/legal/privacy-policy/.

Solltest du darüber hinaus spezifische Anliegen haben, stehen wir dir selbstverständlich gerne zur Verfügung. Kontaktiere uns hierzu bitte über eine Anfrage in deinem Kundenaccount oder per E-Mail an data-protection@hetzner.com

Account

Warum wurde mein Account deaktiviert?

Ein Kundenaccount kann aus verschiedenen Gründen deaktiviert werden. Bitte prüfe zunächst dein E-Mail-Postfach, da wir vor einer Deaktivierung entsprechende Hinweise versenden.

Häufige Gründe sind:

1. Inaktivität Wenn sich ein Kunde ohne aktive Produkte über einen Zeitraum von einem Jahr nicht im Account einloggt, wird dieser deaktiviert. Vorab senden wir eine Erinnerungs-E-Mail. Erfolgt danach keine Anmeldung, wird der Account deaktiviert.

2. Nichtzahlung Ein Account kann auch aufgrund einer unbezahlten Rechnung deaktiviert werden. In diesem Fall versenden wir insgesamt vier Zahlungserinnerungen. Mit der dritten Zahlungserinnerung weisen wir unter anderem darauf hin, dass bei weiterhin ausbleibender Zahlung der Account deaktiviert wird.

Sofern dein Account deaktiviert wurde, kannst du über https://accounts.hetzner.com/signUp einen neuen Account erstellen.

Wie kann ich meinen Account löschen?

Eine Deaktivierung des Accounts ist nur möglich, wenn keine aktiven Produkte mehr bestehen und alle offenen Rechnungen vollständig beglichen wurden.

Bitte gehe dabei wie folgt vor:

  1. Kündige, sofern notwendig, alle aktiven Produkte. Eine Anleitung findest du hier: https://docs.hetzner.com/de/general/cancellation/.

  2. Warte auf die Abschlussrechnung und begleiche diese. Unsere Rechnungen werden rückwirkend erstellt, das heißt am Ende des Abrechnungszeitraums. Beispiel: Kündigst du dein letztes Produkt im laufenden Monat, erhältst du die Abschlussrechnung erst im Folgemonat.

  3. Nach dem Begleichen der letzten Rechnung kannst du deinen Account eigenständig über den folgenden Link deaktivieren: https://accounts.hetzner.com/account/delete.

Deine personenbezogenen Daten werden nach Ablauf der gesetzlichen, vertraglichen und sonstigen Aufbewahrungsfristen aus unseren Systemen gelöscht.

Auftragsverarbeitung (kurz: AV-Vertrag)

Was ist ein AV-Vertrag?

Der AV-Vertrag regelt die Rechte und Pflichten zwischen dir als Verantwortlichem und Hetzner als Auftragsverarbeiter (Art. 28 DSGVO). Hetzner verpflichtet sich dabei, die auf deinen Produkten verarbeiteten personenbezogenen Daten ausschließlich nach deinen Weisungen und nur für die vereinbarten Zwecke zu verarbeiten sowie angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten umzusetzen.

Wann benötige ich einen AV-Vertrag?

Ein AV-Vertrag ist erforderlich, wenn Hetzner im Rahmen der von dir angemieteten Produkte oder Dienstleistungen personenbezogene Daten in deinem Auftrag verarbeitet (Art. 28 Abs. 3 DSGVO).

Es kann Ausnahmen geben, zum Beispiel wenn die Verarbeitung ausschließlich zu privaten Zwecken erfolgt. Ob in deinem konkreten Fall ein AV-Vertrag erforderlich ist, hängt von den jeweiligen Umständen ab. Eine verbindliche rechtliche Bewertung können wir nicht vornehmen, da dies eine Rechtsberatung darstellen würde. Wir empfehlen dir, dich hierzu an einen Datenschutzbeauftragten, Rechtsanwalt oder die für dich zuständige Aufsichtsbehörde zu wenden.

Wie kann ich mit Hetzner einen AV-Vertrag abschließen?

Wir erstellen oder unterzeichnen keine individuellen AV-Verträge.

Unser Vertragsmuster findest du hier:

Den AV-Vertrag kannst du direkt in deinem Kundenaccount abschließen: [https://accounts.hetzner.com/account/dpa]

Einzelheiten zum Vertragsinhalt

Vor Vertragsabschluss musst du festlegen:

  • welche Arten personenbezogener Daten wir in deinem Auftrag verarbeiten und
  • welche Personengruppen (Kreis der Betroffenen) betroffen sind.

Für beide Punkte kannst du aus vorgegebenen Kategorien auswählen oder eigene Angaben ergänzen. Diese Angaben werden anschließend in Anlage 1 deines AV-Vertrags dokumentiert.

Wie gehe ich bei Änderungen vor?

Sollten sich Angaben nachträglich ändern, hast du folgende Möglichkeiten:

  • Variante 1: Du löschst den bestehenden AV-Vertrag im Kundenaccount (Papierkorb-Symbol) und schließt einen neuen Vertrag ab.
  • Variante 2: Du schließt zusätzlich einen weiteren AV-Vertrag ab. Insgesamt können bis zu sechs AV-Verträge gleichzeitig bestehen.

Muss ich den AV-Vertrag unterschreiben?

Nein. Eine handschriftliche Unterschrift ist nicht erforderlich. Dein Einverständnis erfolgt durch das Anklicken der Checkbox Ich stimme der Vereinbarung zu. im Kundenaccount.

Subunternehmer

Wir nehmen für die Datenverarbeitung Leistungen Dritter in Anspruch. Eine Übersicht der eingesetzten Subunternehmen findest du unter: https://www.hetzner.com/AV/subunternehmer.pdf.

Technisch und organisatorische Maßnahmen (kurz: TOMs)

TOMs sind Sicherheitsmaßnahmen, mit denen Hetzner als Auftragsverarbeiter sicherstellt, dass personenbezogene Daten geschützt und DSGVO-konform verarbeitet werden (Art. 32 DSGVO).

Detaillierte Informationen zu unseren TOMs findest du unter: https://docs.hetzner.com/de/general/others/certificates/#technisch-organisatorische-massnahmen-toms

Überprüfung unserer TOMs

Unsere TOMs werden jährlich durch den TÜV Rheinland (i-sec GmbH) überprüft. Das Prüfprotokoll erhalten unsere Kunden automatisch über das Kundenportal, wenn diese einen AV-Vertrag mit uns abgeschlossen haben. Dieses kann dann über https://accounts.hetzner.com/account/dpa abgerufen werden.

Standorte außerhalb der EU / Drittlandsübermittlung

Werden meine Daten in Drittländer übertragen?

Die Übertragung und Speicherung von Daten ist von folgenden Faktoren abhängig:

  • Nicht-Cloud-Produkte: Die Daten werden ausschließlich innerhalb der EU verarbeitet und gespeichert.
  • Cloud: Bei unseren Cloud-Produkten ist der Speicherort von dem von dir gewählten Produktstandort abhängig.

Supportzugriffe erfolgen generell durch unsere Teams innerhalb der EU.

Nur die Daten, die der Kunde selbst aktiv auf einen Server in einem Drittland (z. B. USA oder Singapur) überträgt, werden auch in dieses Drittland übertragen. Hetzner verarbeitet eigene Daten (z. B. Kundenstammdaten, Vertrags- und Abrechnungsdaten) ausschließlich innerhalb der EU.

Bitte beachte, dass du gemäß unserem AV-Vertrag sowohl für die auf dem Server gespeicherten Daten als auch für deren Verschlüsselung selbst verantwortlich bist. Die Übertragung deiner Serverdaten von der EU in das Drittland erfolgt auf Grundlage deiner ausdrücklichen Einwilligung, die du mit der Auswahl des Produktstandortes abgegeben hast.

Betreibt Hetzner außerhalb der EU eigene Rechenzentren?

Nein. Hetzner betreibt dort weder in den USA noch in Singapur eigene Rechenzentren, sondern nutzt Datacenter von Drittanbietern. Die Hetzner-Produkte laufen auf Hetzner-eigenen Servern.

Weitere Informationen zum Datenschutz an unseren US-Standorten

Wer ist mein Vertragspartner? Die Hetzner US LLC ist ein Tochterunternehmen der Hetzner Online GmbH und stellt dieser Rechenzentrumsdienstleistungen in den USA zur Verfügung. Für dich als Kunde bedeutet das im Umkehrschluss, dass die Hetzner Online GmbH weiterhin dein Vertragspartner ist.

Welche meiner Daten werden weitergegeben? Die Hetzner Online GmbH gibt deine Kundenstammdaten (z. B. Zahlungsdaten) nicht an die Hetzner US LLC weiter. Ausschließlich die auf deinem Cloud Server gespeicherten Daten werden in die USA übertragen, soweit du dich für diesen Produktstandort entschieden hast.

Fallbeispiele Um dir eine bessere Vorstellung zu vermitteln, haben wir die folgenden beiden Fallbeispiele für dich zusammengestellt:

  • Fallbeispiel 1: Du mietest einen Cloud Server mit Produktstandort Falkenstein, Nürnberg oder Helsinki an → Sowohl deine Kundenstammdaten als auch die sich auf dem Cloud Server befindlichen Daten werden innerhalb der EU gespeichert und verarbeitet. Es erfolgt ebenfalls keine Speicherung deiner Daten auf Servern außerhalb Europas.
  • Fallbeispiel 2: Du mietest einen Cloud Server mit Produktstandort Ashburn (Virginia) und/oder in Hillsboro (Oregon) an → Ausschließlich die auf deinem Cloud Server gespeicherten Daten werden in die USA übertragen. Deine Kundenstammdaten werden weiterhin nur innerhalb der EU gespeichert und verarbeitet.

Weitere Informationen zum Datenschutz an unserem Singapur-Standort

Wer ist mein Vertragspartner? Die Hetzner Singapore Pte. Ltd., ein Tochterunternehmen der Hetzner Online GmbH, stellt dem Mutterunternehmen Rechenzentrumsdienstleistungen in Singapur zur Verfügung. Somit bleibt die Hetzner Online GmbH weiterhin dein Vertragspartner.

Welche meiner Daten werden weitergegeben? Die Hetzner Online GmbH leitet deine Kundenstammdaten (z. B. Zahlungsdaten) nicht an die Hetzner Singapore Pte. Ltd. weiter. Ausschließlich die auf deinem Cloud Server gespeicherten Daten werden nach Singapur übertragen, soweit du dich für diesen Produktstandort entschieden hast.

Fallbeispiele Die folgenden beiden Fallbeispiele sollen dir eine konkretere Vorstellung vermitteln:

  • Fallbeispiel 1: Du mietest einen Cloud Server mit Produktstandort Falkenstein, Nürnberg oder Helsinki an → Deine Kundenstammdaten als auch die auf deinem Cloud Server gespeicherten Daten verbleiben innerhalb der EU. Eine Speicherung deiner Daten auf Servern außerhalb Europas erfolgt nicht.
  • Fallbeispiel 2: Du mietest einen Cloud Server mit Produktstandort Singapur an → Ausschließlich die auf deinem Cloud Server gespeicherten Daten werden nach Singapur übertragen. Deine Kundenstammdaten werden weiterhin nur innerhalb der EU gespeichert und verarbeitet.

Backups

Je nach Produkt werden die Backups in einem anderen Brandabschnitt oder an einem anderen Standort gespeichert. Wenn du einen Produktstandort innerhalb der EU gewählt hast, verbleiben die Backups ebenfalls innerhalb der EU.

Die automatische Erstellung von Backups ist abhängig vom Produkt und den gebuchten Leistungen. Unsere Dedicated-Server und unsere Cloud-Server sind unmanaged Produkte. Du bist daher selbst dafür verantwortlich, entsprechende Backups einzurichten. Hier kannst du z. B. unsere Storage Boxen verwenden, um Backups zu erstellen.

Logfiles bei Webhosting & Managed Server

Allgemeine Informationen

Logdateien (sogenannte "Logs") sind von Computern oder Programmen automatisch erstellte Aufzeichnungen. Jedes Mal, wenn etwas passiert – z. B. jemand meldet sich an, ein Fehler tritt auf oder eine Datei wird geöffnet – schreibt das System eine kurze Notiz in diese Logdatei. Diese Notiz nennt man Logeintrag, die gesamte Datei ist die Logdatei.

Logdateien helfen Systemadministratoren oder Entwicklern dabei:

  • Zu verstehen, was passiert ist, wenn etwas fehlschlägt
  • Nachzuvollziehen, wer was gemacht hat (z. B. bei Sicherheitsfragen)
  • Fehler zu identifizieren, um sie einfacher beheben zu können

Welche Daten werden in Logfiles gespeichert?

Jede Zeile einer Logdatei steht für einen einzelnen Vorgang (z. B. einen Seitenaufruf) und enthält:

  • Datum und Uhrzeit
  • Eine Beschreibung des Ereignisses
  • Wer oder was das Ereignis ausgelöst hat

Als Beispiel findest du nachstehend einen Auszug aus der Logdatei einer bei Hetzner gehosteten Website, wie es in der konsoleH angezeigt wird. Logdateien wie diese sind eine der wichtigsten Ressourcen, um z. B. Einsicht in Besucheraktivitäten von Webseiten zu erhalten.

Beispielzeile eines Logfiles Die folgende Beispielzeile zeigt, welche Informationen typischerweise bei einem Seitenaufruf im Logfile protokolliert werden.

xyz.tld 0 1.2.3.4 - - [17/Jul/2024:13:52:46 +0200] "GET /test.php HTTP/2.0" 200 97017 "www.hetzner.com" "Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0"

Erläuterung der einzelnen Bestandteile der Beispiel-Logzeile: (von links nach rechts):

  • xyz.tld Domain, an welche die Anfrage gestellt wurde (nur im live-log verfügbar)
  • 0 Zeit in Sekunden, die benötigt wurde, um die Anfrage zu beantworten (nur im live-log verfügbar)
  • 1.2.3.4 IP-Adresse des Clients (anonymisiert, siehe Anmerkung)
  • - Logname von identd
  • - Benutzername (wird nur gesetzt, wenn geschützte Bereiche per HTTP-Authentifizierung verwendet werden, z. B. bei basic auth)
  • 17/Jul/2024:13:52:46 Zeitpunkt, an dem die Anfrage beim Server empfangen wurde
  • "GET /test.php HTTP/2.0" Erste Zeile der Anfrage (enthält Methode (sagt dem Server, was passieren soll), Zugriffsziel, verwendetes HTTP-Protokoll)
  • 200 HTTP-Statuscode (hier: Erfolg)
  • 97017 Gesendete Bytes inkl. Kopfzeilen (Header-Daten)
  • www.hetzner.com Referrer (zuvor besuchte Website)
  • "Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0" User-Agent (enthält Informationen zu Betriebssystem, Browsertyp, Browserversion)

Bitte beachte: Einige Werte werden vom Nutzer bzw. dessen Browser selbst übermittelt, zum Beispiel der Referrer oder der User-Agent. Wird dieser Wert nicht übertragen, erscheint in der Logdatei ein -.

Wie lange werden die Logfiles gespeichert?

  • Mailserver-Logs: Vorhaltezeit beträgt 7 Tage
  • Apache-Logs (Access und Error Logs bei Zugriff auf deine Website): Standardmäßig sind 7 Tage eingestellt. Die Speicherdauer kannst du in der konsoleH selbst konfigurieren. Im Menüpunkt Einstellungen > Accountwartung kannst du den Löschzeitpunkt festlegen.
  • Backups: Werden 14 Tage in verschlüsselter Form aufbewahrt

Anonymisierung von IP-Adressen

Bei uns werden nur anonymisierte IP-Adressen gespeichert. Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile standardmäßig statt der tatsächlichen IP-Adresse des Besuchers z. B. <123.123.123.123> eine IP-Adresse wie <123.123.123.XXX> gespeichert wird, wobei XXX ein Zufallswert zwischen 1 und 254 ist. Die Herstellung eines Personenbezuges ist dadurch nicht mehr möglich.

AWStats und Report Magic

Zur Analyse der Webseitenzugriffe stehen bei Hetzner die Statistiktools AWStats und Report Magic zur Verfügung. Bei den beiden Statistikprogrammen werden die Logfiles ausgewertet. Die Statistiken werden mit bereits anonymisierten Daten erstellt. Ein Personenbezug ist nicht herstellbar.

Weitere Informationen zur Nutzung findest du unter https://docs.hetzner.com/de/konsoleh/account-management/statistics/log-files/.

Anfragen von Behörden

Wir haben regelmäßig behördliche Anfragen. Wie alle außereuropäischen Behörden müssen auch Behörden aus den USA und aus Singapur die Regularien der EU-Gesetzgebung einhalten. Das bedeutet konkret:

  • Für unsere Rechenzentren in Falkenstein und Nürnberg: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von deutschen Behörden/Gerichten. Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten werden nicht akzeptiert. Ausschließlich deutschen Behörden mit gültigem deutschem Gerichtsbeschluss wird Zugang zu unserem Rechenzentrum gewährt.

Es ist uns wichtig zu betonen, dass wir, wie andere Hosting-Anbieter auch, nicht garantieren können, dass deutsche Behörden die nach deutschem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

  • Für unser Rechenzentrum in Helsinki: In unserem Rechenzentrum in Helsinki verfahren wir ähnlich: Wir akzeptieren dort nur Anfragen und Gerichtsbeschlüsse von finnischen Behörden/Gerichten. Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten werden nicht angenommen. Nur finnische Behörden mit einem gültigen finnischen Gerichtsbeschluss erhalten Zugang zu unseren Rechenzentren.

Auch hier der Hinweis, dass finnische Behörden die nach finnischem Recht erhaltenen Daten aufgrund internationaler Abkommen an ausländische Behörden weitergeben könnten.

  • Für unsere Standorte in den USA und Singapur: Behörden aus den USA oder Singapur haben keinen Direktzugriff auf die Inhalte deiner Serverdaten in der EU. Wir nehmen an, dass es auch aus den USA oder aus Singapur zu Rechtshilfeersuchen kommen kann, solltest du die Server zu illegitimen Zwecken nutzen. In diesem Fall – und nur in diesem – sind Behörden zur internationalen Zusammenarbeit auf Grundlage von Abkommen verpflichtet.

Zusammenfassend lässt sich sagen: Du als Kunde hast bis zu einem gewissen Grad Einfluss darauf, wer auf deine Serverdaten zugreifen kann. Allerdings besteht selbst bei ausschließlich in Europa gespeicherten Daten keine 100%ige Sicherheit vor Zugriffen durch behördliche Anfragen und/oder Gerichtsbeschlüssen. Wenn du dich für ein Unternehmen entscheiden möchtest, das keinerlei Verbindung zu den USA oder nach Singapur hat, müssen wir diesbezüglich leider ab sofort passen. Durch die Hetzner US LLC und die Hetzner Singapore Pte. Ltd. ist eine gewisse Verbindung durchaus gegeben. Die Auswirkungen dieser Verbindung haben wir dir aus unserer Sicht dargestellt.

Table of Contents