DSGVO und die Auswirkungen auf Webhoster und Webhosting-Kunden

Autor:   |  30.10.2018


Wir hatten das Glück mit Thomas Keser, Prokurist der WebhostOne GmbH über die Auswirkungen der DSGVO, die seit Mai diesen Jahres gilt, zu sprechen. Insbesondere gehen wir auf die Konsequenzen der neuen Richtlinie für Webhoster und Hosting-Kunden ein und wagen einen Ausblick der geplanten E-Privacy-Verordnung.

ht: Hallo Hr. Keser, wären Sie so lieb und könnten den hosttest-Besuchern Ihr Unternehmen kurz vorstellen.


webhostone.png tk: Die Firma WebhostOne GmbH steht Ihnen seit 1998 als kompetenter und qualitätsbewusster Dienstleister in den Bereichen Webhosting, Domains, Reseller- und Managed Server zur Verfügung. Neben der Bereitstellung hochqualitativer Services und Produkte legen wir besonderen Wert auf die Verfügbarkeit eines kompetenten und umfassenden Supports. Unsere hohe Serviceorientierung spiegelt sich nicht nur in unseren Supportzeiten, die auch über die üblichen Geschäftszeiten hinaus gehen, sondern ebenso in der hohen Kundenzufriedenheit wider, für die wir regelmäßig von unseren Kunden in den führenden unabhängigen Bewertungsportalen, wie z. B. Trustpilot oder HostTest, ausgezeichnet bewertet werden. Mit unserer Administrationsoberfläche WHO-Adminpanel stellen wir unseren Kunden ein einzigartiges System zur Verwaltung ihres Webhostingaccounts zur Verfügung, welches sogar im Bereich des Shared-Hosting Leistungsmerkmale bietet, die man sonst nur bei V- oder Rootservern kennt. Eine frei editierbare php.ini und httpd.conf sind hierbei ebenso selbstverständlich wie verschiedene Apache- und PHP-Versionen als Modul oder CGI für jeden einzelnen Webhostingaccount. Unsere Server stehen in einem modernen, hervorragend angebundenen Rechenzentrum der TelemaxX GmbH in Karlsruhe. Den Strom zum Betrieb unserer IT-Infrastruktur beziehen wir ausschließlich aus erneuerbaren Energiequellen.

ht: Die DSGVO stand am 25.05.18 an: Wie viel Ressourcen mussten Sie in diesen Wochen dem Thema widmen?

tk:
Das Thema Datenschutz und die Verarbeitung der Daten stand bei uns bereits früher hoch im Kurs, so waren wir einer der wenigen Anbieter die schon vor der DSGVO einen ADV Vertrag anbieten konnten, der dann mit der DSGVO quasi zur Pflicht wurde. Unsere Prozesse waren bereits auf ihre Konformität geprüft und die erforderliche Dokumentation vorhanden, weshalb für uns nur wenig Umstellung in den Prozessen notwendig war. Was uns Kopfzerbrechen bereitete waren die Ausformulierungen der eigenen Erklärungen im ADV und der Datenschutzvereinbarung. Aufgrund vieler unklarer Rechtsbegriffe wie z.B. „Verarbeitung nach Treu und Glauben“ sowie unzähliger Öffnungsklauseln für den deutschen Gesetzgeber fiel es aber auch uns nicht leicht die genauen Formulierungen zu finden und auf Papier zu bannen. Als der Termin in greifbare Nähe rückte veröffentlichten auch diverse öffentliche Stellen und Landesdatenschutzbeauftragte Handlungsempfehlungen mit deren Hilfe ein Abgleich der eigenen  Formulierungen und Inhalte rechtlich leichter gegen zu gleichen bzw. abzusichern waren. Neben der rechtssicheren Umsetzung der Regularien beschäftigte uns natürlich auch der rechtskonforme Abschluss der Verträge zur Auftragsdatenvereinbarung. Die anfangs gängige Meinung dass diese Verträge nicht elektronisch geschlossen werden dürfen wurde später von diversen Landesdatenschutzbeauftragten revidiert. So konnten wir einen geeigneten elektronischen Prozess schaffen, was sonst bei mehr als 20 T Kunden einen enormen Verwaltungsaufwand bedeutet hätte. So stand für uns im Fokus den Prozess des Abschlusses für unsere Kunden als auch für uns weitestgehend zu automatisieren. Neben dieser Entwicklungsarbeit beschäftigten uns vor allem Supportanfragen die sich um das Thema DSGVO und die Webseiten unserer Kunden drehten. Leider ist es hierbei schwer eine generelle Handlungsempfehlung zu geben, da man im Detail die Prozesse der Kunden analysieren muss, die über das reine Hosting hinausgehen. Mit dem ADV Vertrag können sich unsere Kunden für die Schnittstelle zu WebhostOne aber grundsätzlich absichern.

ht: Wie stark trifft das Thema jeden Webhoster?

Das Thema ist für jeden Webhoster von Bedeutung weil der Grundzweck hier das Generieren und Verarbeiten von Daten ist. Die Schnittmenge zwischen dem Hoster und dem Kunden betrifft hier u. a. die eingesetzte Administrationsoberfläche, da diese meist vom Hoster bereitgestellt wird und er sich somit um die Einhaltung der Datenschutzanforderungen kümmern muss. Ein Thema war bei uns z.B. die Anonymisierung der geloggten IP-Adressen und deren Speicherdauer. Die Problematik beim Thema IP Speicherung war zwar nicht neu, wurde aber im Rahmen der DSGVO von den Kunden ernster genommen. Da wir nicht im Einzelfall prüfen können ob unsere Kunden eine Erlaubnis zur IP Speicherung besitzen, maskierten wir von dort an verpflichtend die IP-Adressen, weil diese über unser System erfasst und gespeichert werden. Kunden können sich die vollen IP-Adressen mit Tracking Software in Eigenregie aber dennoch sichern. Natürlich wird auch die Erhebung und Weitergabe von Namen und Adressdaten von Domaininhabern (Whois-Daten) die für die Registrierung von Domains erforderlich sind heiß und kontrovers diskutiert. Die Vergabestellen haben mit dem Schritt der Unterdrückung von Whois-Daten einen großen Schritt in Richtung Anonymisierung gewagt, welchen wir nicht vollumfänglich begrüßen. So stellt uns dies als Webhoster vor neue Herausforderungen wenn es um Beratung und Durchführung von Domainumzügen oder die Beantragung von SSL Zertifikaten geht. Andere große Themen in der Hosting-Branche wie Big Data und Cloud Computing wurden durch die DSGVO aber überraschend wenig behandelt.

ht: Können Sie kurz die Eckpfeiler des DSGVO erläutern bzw. die wichtigen Bereiche für jeden Webhoster.

tk: Kurz gefasst werden u. a. die Spielregeln zur Erhebung, Verarbeitung, Sicherheit und Speicherung der Daten festgelegt. Es muss sich immer die Frage gestellt werden welche Erlaubnis man für die Erhebung hat und welche Folgen die Datenverarbeitung mit sich bringt. Eine Erlaubnis stellt z.B. eine rechtmäßige Einwilligung, eine gesetzliche Pflicht oder schlicht die Erfüllung des Vertrages dar. Um das Thema IP-Adressen nochmals aufzugreifen: hier hat der Hoster häufiger Gründe oder die Erlaubnis IP-Adressen (zumindest kurzzeitig) zu speichern als seine Kunden. Hier liegt eine Erlaubnisnorm vor um z.B. einer Abwehr und Aufklärung von Cyberangriffen nachzukommen. Die Prozesse bei der Verarbeitung müssen sicher und gut dokumentiert sein um die Datenintegrität und Vertraulichkeit sicherstellen zu können. Da Betroffene mit der DSGVO ein Auskunftsrecht haben und die Rechenschaftspflicht/Beweislast beim Verantwortlichen liegt, sollte jeder Schritt im Umgang mit den Daten genau geplant sein. Dabei ist nicht nur die eigene Verarbeitung wichtig, sondern zieht sich über alle Lieferanten und Partner hinweg, die mit personenbezogenen Daten in Verbindung kommen. Wir profitieren in dieser Hinsicht davon, dass wir nur mit ausgewählten Partnern aus dem deutschen Raum zusammenarbeiten. So z. B. von unserem ISO zertifizierten Rechenzentrum welches seit jeher sehr hohe Sicherheitsstandards besitzt.

ht: Bei den unterschiedlichen Anforderungen- können Sie ggf. einen Auszug geben, was ein Webhoster entsprechend umsetzen sollte?

tk: Grundsätzliche sollte ein Webhoster die zur Verfügung gestellte Software per Grundeinstellung sicher betreiben und ausliefern und auch seine Kunden beim Betrieb der eigenen Software sensibilisieren (Stichwort: „privacy by default“).  Für uns bedeutet dies auch das Anbieten von kostenlosen Let’s Encrypt SSL Zertifikaten per Mausklick, das Abschalten älterer Protokolle, aber auch das Abschalten von älteren PHP Versionen. Speziell das Thema PHP Versionen stellt natürlich viele Kunden vor Herausforderungen, ist aber auch Anreiz die eigene Software aktuell zu halten um wiederrum den Vorgaben der DSGVO zu entsprechen.

ht: Sie stehen viel in Kontakt mit Ihren Kunden, was ist aus dem Thema, nun gute sechs Monate nach der Einführung, geworden?

tk: Ehrlich gesagt hat sich das Thema weitestgehend verlaufen. Viele Kunden waren vom Umfang der Maßnahmen überrascht und es bereitete ihnen wohl die ein oder andere schlaflose Nacht. Aufgrund des großen Wirbels in den Medien ist es zwar in den Hinterköpfen noch präsent, hat aber an Schrecken verloren. Die befürchteten Abmahnungen und Beschwerden sind im wesentlichen ausgeblieben und auch die überall erwähnte 20 Mio. € Strafe wurde bisher noch nicht verhängt. Vielmehr schaffen es nun Geschichten in die Schlagzeilen, die dem Ruf der DSGVO weiter schaden und lächerlich machen. So u. a. der angebliche Verstoß von Haustürklingelschildern gegen die DSGVO.

ht: Abschließend würde mich interessieren, was Sie für die Zukunft sehen bei dem Thema Datenschutz und E-Privacy. Ist die DSGVO schon alles oder wird der Druck von Behörden Ihrer Meinung weiter zunehmen bei der geplanten E-Privacy Verordnung?

Ich denke, dass die DSGVO generell zu viel Auslegungsspielraum bietet und so ständig eine Unsicherheit herrscht, die nicht gut für das Datenschutzklima ist. Andererseits hat sie das Potenzial selbst die Größen der Internetbranche zu bewegen. Das Facebook so schnell auf die Problematik der Firmen-Fanpages reagierte und mit dem „Page Controller Addendum“ nun auch eine annehmbare Lösung anbietet, hätte ich nicht für möglich gehalten. Wie es hier weiter geht ist schwer zu sagen. Im Vergleich zur DSGVO sieht die E-Privacy Verordnung jedoch viel gravierendere Eingriffe in den Internetverkehr vor und wird kontrovers diskutiert. Für uns als Webhoster ändern sich natürlich die rechtlichen Grundlagen, die dann eine Umgestaltung der ADV Verträge, Dokumentation und Datenschutzvereinbarung nach sich ziehen würden, jedoch in einem überschaubaren Rahmen. Die E-Privacy Verordnung aus dem Maßnahmenpaket der EU würde aber das Internet und das Geschäftsmodell vieler anderer Branchen die vom Tracking der Webseitenbesucher leben, gravierend ändern. Als wichtigster Punkt ist hierbei die Handhabung von Third Party bzw. Tracking Cookies zu nennen, welche für die Onlinewerbebranche fundamental ist. Dem Anwender wird dadurch nicht nur eine Information über das Tracking zugestanden, sondern es wird auch eine Ablehnung möglich machen. Die E-Privacy Verordnung wird das Internet so wir es kennen stark verändern.

ht: Ich bedanke mit sehr herzlich für das tolle Interview und die vielen Facetten zum Thema DSGVO.

Das Interview führte Marco Keul

Steckbrief


Name: Thomas Keser
Position: Prokurist
Angestellte: > 10
FA besteht seit: 1998
Kundenstamm: > 20.000
Zum Profil von WebhostOne