Einführung
Datenschutz ist uns ein großes Anliegen hier bei Hetzner. Dieser Artikel bietet Antworten auf häufige Fragen zu diesem Thema.
Webhosting, Managed Server
Welche Daten werden in den Logfiles gespeichert
Logfiles speichern unter anderem die IP-Adresse, den verwendeten Browser, Uhrzeit und Datum und das genutzte System eines Seitenbesuchers. Bei uns werden nur anonymisierte IP-Adressen von Besuchern der Website gespeichert. Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile standardmäßig statt der tatsächlichen IP-Adresse des Besuchers z.B. <123.123.123.123>
eine IP-Adresse <123.123.123.XXX>
gespeichert wird, wobei XXX ein Zufallswert zwischen 1 und 254 ist. Die Herstellung eines Personenbezuges ist nicht mehr möglich.
Wie lange werden Logfiles gespeichert
- Mailserverlog: Vorhaltezeit sind 7 Tage
- Apachelog: Speicherdauer kann der Kunde in der konsoleH selbst konfigurieren. Im Menüpunkt
Einstellungen > Accountwartung
können Sie den Löschzeitpunkt festlegen. - Backups: Werden 14 Tage in verschlüsselter Form aufbewahrt
Welche Daten werden erfasst bei AWStats und Report Magic
Bei den beiden Statistikprogrammen werden die Logfiles ausgewertet. Die Statistiken werden mit bereits anonymisierten Daten erstellt. Ein Personenbezug ist nicht herstellbar. Die beiden Programme laufen auf Ihrem eigenen Server/Webaccount.
Folgende Daten werden ausgewertet:
- der verwendete Browsertyp und die Browserversion, (sofern vom Benutzer übermittelt!),
- das Betriebssystem,
- Datum und Uhrzeit der Serveranfrage,
- die Anzahl der Besuche,
- die Verweildauer auf der Website,
- die vorher besuchte Website, (sofern vom Benutzer übermittelt!),
- die IP-Adresse der Nutzer wird anonymisiert, bevor sie gespeichert wird.
Auftragsverarbeitung
Was ist ein Auftragsverarbeitungs-Vertrag (kurz: AV-Vertrag)?
Der AV-Vertrag bildet die Basis der Datensicherheit, wenn Sie die Verarbeitung von personenbezogenen Daten an einen Dienstleister wie Hetzner auslagern.
In dem AV-Vertrag werden die Rechte und Pflichten zwischen Ihnen als Verantwortlichen und Hetzner als Auftragsverarbeiter definiert. Hetzner verpflichtet sich hier bspw. auch dazu, dass wir die personenbezogenen Daten, die Sie uns zur Verfügung stellen, nur für die vereinbarten Zwecke verarbeiten. Wir verpflichten uns durch den AV-Vertrag ebenfalls zu umfassenden Schutzmaßnahmen bei der Verarbeitung der Daten. Einen Überblick dieser Maßnahmen (technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO) finden Sie in der Anlage 2 des AV-Vertrages.
Wann benötige ich einen AV-Vertrag?
Der AV-Vertrag ist gemäß Artikel 28 Absatz 3 DSGVO zwingend erforderlich, wenn Hetzner für Sie personenbezogene Daten verarbeitet. Kurz: Wenn auf Ihrem bei uns gemieteten Server personenbezogene Daten liegen.
Ausnahme: Sofern Sie die personenbezogenen Daten ausschließlich zu privaten Zwecken verarbeiten, müssen Sie keinen AV-Vertrag abschließen.
Was sind personenbezogene Daten?
Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO definiert. Kurzum sind personenbezogene Daten Informationen, die sich auf eine bestimmte Person beziehen. Zu diesen zählen Name, Adresse, E-Mail-Adresse, Geschlecht oder Kontonummer.
Wie kann ich mit Hetzner einen AV-Vertrag abschließen?
Das Muster zu unserem Auftragsverarbeitungs-Vertrag finden Sie unter: https://www.hetzner.com/AV/DPA_de.pdf oder https://www.hetzner.com/AV/DPA_en.pdf Sie können einen solchen AV-Vertrag ganz bequem in Ihrem Kundenkonto abschließen. Bitte klicken Sie für diese Option auf den folgenden Link: https://accounts.hetzner.com/account/dpa.
Einzelheiten zum Vertragsinhalt
Bei der Art der Daten kategorisieren Sie die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten. Sie können aus den vorgegebenen Datenarten auswählen oder eigene Datenarten hinzufügen. Der Kreis der Betroffenen bezieht sich auf die Gruppe von Personen, deren personenbezogene Daten im Rahmen der Verarbeitungstätigkeiten verarbeitet werden. Sie können auch hier aus den von uns vorgegebenen Beispielen wählen oder eigene Personengruppen definieren. Die Auflistung der Art der Daten und des Kreises der Betroffenen finden Sie nach Vertragsabschluss in Anlage 1 Ihres AV-Vertrages.
Falls sich nach Abschluss des Vertrages die Art der Daten und/oder der Kreis der Betroffenen ändert, können Sie: Variante 1: den bereits bestehenden Vertrag über das Papierkorbsymbol löschen und einen neuen Vertrag anlegen oder Variante 2: zusätzlich zu dem bestehenden AV-Vertrag einen weiteren Vertrag erstellen. Insgesamt sind gleichzeitig bis zu sechs Verträge möglich.
Muss ich den AV-Vertrag unterschreiben?
Eine Unterschrift durch Sie ist an dieser Stelle nicht zwingend notwendig, da Sie Ihr Einverständnis bereits bei Abschluss des Vertrages über die Checkbox im Kundenaccount abgegeben haben.
Unser Unternehmen hat einen eigenen AV-Vertrag - wem sende ich diesen zur Unterschrift zu?
Einen AV-Vertrag können Sie über den folgenden Link mit uns abschließen: https://accounts.hetzner.com/account/dpa.
Subunternehmer
Um unsere Dienstleistungen effizient anzubieten, arbeiten wir mit Subunternehmern zusammen. Diese sind vertraglich zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Die vollständige Liste unserer Subunternehmer findet sich hier.
Standorte außerhalb der EU
Bitte beachten Sie, dass wir derzeit ausschließlich für unsere Cloud-Produkte einen Standort in den USA und Singapur anbieten. Für alle anderen Produkte gilt weiterhin, dass deren Serverdaten ausschließlich innerhalb der EU verarbeitet werden.
Informationen zum Datenschutz an unseren US-Standorten
Wer ist mein Vertragspartner?
Die Hetzner US LLC ist ein Tochterunternehmen der Hetzner Online GmbH und stellt dieser Rechenzentrumsdienstleistungen in den USA zur Verfügung. Für Sie als Kunde bedeutet das im Umkehrschluss, dass die Hetzner Online GmbH weiterhin Ihr Vertragspartner ist.
Welche meiner Daten werden weitergegeben?
Die Hetzner Online GmbH gibt Ihre Kundenstammdaten (z. B. Ihre Zahlungsdaten) nicht an die Hetzner US LLC weiter.
Supportzugriffe erfolgen generell durch unsere Teams innerhalb der EU.
Ausschließlich die auf Ihrem Cloud Server gespeicherten Daten werden in die USA übertragen, soweit Sie sich für diesen Produktstandort entschieden haben. Die Hetzner-Cloud-Produkte in Ashburn, Virginia, und Hillsboro, Oregon, laufen auf Hetzner-eigenen Servern in Datacentern von Drittanbietern in den USA.
Fallbeispiele
Um Ihnen eine bessere Vorstellung zu vermitteln, haben wir die folgenden beiden Fallbeispiele für Sie zusammengestellt:
-
Fallbeispiel 1:
» Sie mieten einen Cloud Server mit Produktstandort Falkenstein, Nürnberg oder Helsinki an
Sowohl Ihre Kundenstammdaten als auch die sich auf dem Cloud Server befindlichen Daten werden innerhalb der EU gespeichert und verarbeitet. Es erfolgt ebenfalls keine Speicherung Ihrer Daten auf Servern außerhalb Europas.
-
Fallbeispiel 2:
» Sie mieten einen Cloud Server mit Produktstandort Ashburn (Virginia) und/oder in Hillsboro (Oregon) an
Ihre Kundenstammdaten werden ausschließlich innerhalb der EU gespeichert und verarbeitet.
Um Ihnen eine DSGVO-konforme Nutzung der Server an den USA-Standorten anbieten zu können, hat die Hetzner Online GmbH mit der Hetzner US LLC Standardvertragsklauseln (kurz SCCs) abgeschlossen. Mit der Unterzeichnung dieser verpflichtet sich die Hetzner US LLC zur Einhaltung des europäischen Datenschutzniveaus.
(Stand: 24.07.2024)
Hinweis: Bitte beachten Sie, dass Sie gemäß unserem Auftragsverarbeitungsvertrag (AV-Vertrag) sowohl für die auf dem Server gespeicherten Daten als auch für deren Verschlüsselung selbst verantwortlich sind. Die Übertragung Ihrer Serverdaten von der EU in die USA erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung, die Sie mit der Auswahl des Produktstandortes abgegeben haben.
Datenschutzrechtliche Informationen zu unserem Standort in Singapur
Wer ist mein Vertragspartner?
Die Hetzner Singapore Pte. Ltd., ein Tochterunternehmen der Hetzner Online GmbH, stellt dem Mutterunternehmen Rechenzentrumsdienstleistungen in Singapur zur Verfügung. Somit bleibt die Hetzner Online GmbH weiterhin Ihr Vertragspartner.
Welche meiner Daten werden weitergegeben?
Die Hetzner Online GmbH leitet Ihre Kundenstammdaten (z. B. Ihre Zahlungsdaten) nicht an die Hetzner Singapore Pte. Ltd. weiter.
Supportzugriffe erfolgen immer durch die Teams unserer EU-Standorte (Falkenstein, Nürnberg und Helsinki)
Es werden nur die auf Ihrem Cloud Server gespeicherten Daten nach Singapur übertragen, soweit Sie sich für diesen Produktstandort entschieden haben. Die Hetzner-Cloud-Produkte in Singapur laufen auf Hetzner-eigenen Servern in einem Datacenter eines Drittanbieters in Singapur.
Fallbeispiele
Die folgenden beiden Fallbeispiele sollen Ihnen eine konkretere Vorstellung vermitteln:
-
Fallbeispiel 1
» Sie mieten einen Cloud Server mit Produktstandort Falkenstein, Nürnberg oder Helsinki an
Ihre Kundenstammdaten als auch die auf Ihrem Cloud Server gespeicherten Daten verbleiben innerhalb der EU. Eine Speicherung Ihrer Daten auf Servern außerhalb Europas erfolgt nicht.
-
Fallbeispiel 2
» Sie mieten einen Cloud Server mit Produktstandort Singapur an
Ihre Kundenstammdaten verbleiben ausschließlich innerhalb der EU.
Die Übertragung Ihrer Serverdaten von der EU nach Singapur erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung, die Sie mit der Auswahl des Produktstandortes abgegeben haben. Um sicherzustellen, dass die Server an dem Standort in Singapur DSGVO-konform genutzt werden können, hat die Hetzner Online GmbH Standardvertragsklauseln (SCCs) mit der Hetzner Sngapore Pte. Ltd. abgeschlossen. Diese SCCs verpflichten die Hetzner Singapore Pte. Ltd. zur Einhaltung des europäischen Datenschutzniveaus. (Stand: 07.08.2024)
Bitte beachten Sie dabei den Hinweis, dass Sie auf Grundlage unseres Auftragsverarbeitungsvertrages (kurz AV-Vertrag) sowohl für die sich auf dem Server befindlichen Daten als auch die Verschlüsselung selbst verantwortlich sind.
Anfragen von Behörden
Wir haben regelmäßig behördliche Anfragen. Wie alle außereuropäischen Behörden müssen auch Behörden aus den USA und aus Singapur die Regularien der EU-Gesetzgebung einhalten. Das bedeutet konkret:
-
Für unsere Rechenzentren in Falkenstein und Nürnberg:
Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von deutschen Behörden/Gerichten. Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten werden nicht akzeptiert. Ausschließlich deutschen Behörden mit gültigem deutschem Gerichtsbeschluss wird Zugang zu unserem Rechenzentrum gewährt.
Es ist wichtig zu beachten, dass wir, wie andere Hosting-Anbieter auch, nicht garantieren können, dass deutsche Behörden die nach deutschem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.
-
Für unser Rechenzentrum in Helsinki:
In unserem Rechenzentrum in Helsinki verfahren wir ähnlich: Wir akzeptieren dort nur Anfragen und Gerichtsbeschlüsse von finnischen Behörden/Gerichten. Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten werden nicht angenommen. Nur finnische Behörden mit einem gültigen finnischen Gerichtsbeschluss erhalten Zugang zu unseren Rechenzentren.
Auch hier der Hinweis, dass finnische Behörden die nach finnischem Recht erhaltenen Daten aufgrund internationaler Abkommen an ausländische Behörden weitergeben könnten.
-
Für unsere Standorte in den USA und Singapur:
Behörden aus den USA oder Singapur haben keinen Direktzugriff auf die Inhalte Ihrer Serverdaten in der EU. Wir nehmen an, dass es auch aus den USA oder aus Singapur zu Rechtshilfeersuchen kommen kann, sollten Sie die Server zu illegitimen Zwecken nutzen. In diesem Fall – und nur in diesem – sind Behörden zur internationalen Zusammenarbeit auf Grundlage von Abkommen verpflichtet.
Zusammenfassung:
Sie als Kunde haben bis zu einem gewissen Grad Einfluss darauf, wer auf Ihre Serverdaten zugreifen kann. Allerdings besteht selbst bei ausschließlich in Europa gespeicherten Daten keine 100%ige Sicherheit vor Zugriffen durch behördliche Anfragen und/oder Gerichtsbeschlüssen. Wenn Sie sich für ein Unternehmen entscheiden möchten, das keinerlei Verbindung zu den USA oder nach Singapur hat, müssen wir diesbezüglich leider ab sofort passen. Durch die Hetzner US LLC und die Hetzner Singapore Pte. Ltd. ist eine gewisse Verbindung durchaus gegeben. Die Auswirkungen dieser Verbindung haben wir Ihnen aus unserer Sicht dargestellt.
Noch Fragen? Wir beantworten sie Ihnen gerne persönlich
Wenn Sie weitere Fragen zum AV-Vertrag haben, helfen wir Ihnen gerne weiter. Bitte kontaktieren Sie unser Datenschutz-Team unter data-protection@hetzner.com.