Sie sind hier: Produkte » Netzdienste » Webhosting » EU-Datenschutz

Hinweise zur EU-Datenschutzverordnung

Am 25.5.2018 tritt in den EU-Staaten die neu Datenschutz-Grundverordnung (DSGVO) in Kraft. Hierzu erreichen uns mittlerweile viele Anfragen von Schulen, die unser Webhosting nutzen.

Wir können hierzu keine fundierten juristischen Auskünfte geben, aber zumindest einige BelWü-spezifischen Hinweise, die bei der Umsetzung der Verordnung helfen können.

1. Wie kann ein Webauftritt auf dem BelWü-Server auf HTTPS umgestellt werden?

Wenn personenbezogene Daten auf den Webserver übertragen werden (z.B. durch Kontakt- oder Anmeldeformulare), so muss dies verschlüsselt geschehen und der Webauftritt muss so umgestellt werden, dass die Zugriffe über HTTPS erfolgen.

Hierzu benötigt der Auftritt zunächst ein offizielles SSL-Zertifikat, ein solches  können wir für Webauftritte auf den BelWü-Webservern im Rahmen von Forschung und Lehre über den DFN-Verein ("Deutsches Forschungsnetz") kostenlos erhalten.

Wenn Ihr Webauftritt einen Namen verwendet,

  • der auf "schule-bw.de" oder "bw.schule.de" endet

oder

  • der innerhalb einer eigenen Domain liegt, die über das BelWü registriert ist

und

  • wenn der Auftritt nur unter einem (oder mehreren) solchen Namen aufgerufen wird

genügt eine formlose Mail an webmaster (at) belwue.de, in der Sie uns die Namen nennen, und wir beantragen und installieren das Zertifikat in Ihrem Auftritt.

Haben Sie beispielsweise die Domain "beispielschule-musterhausen.de" über das BelWü angemeldet, so genügt für Namen wie "www.beispielschule-musterhausen.de", "diler.beispielschule-musterhausen.de" oder "moodle.beispielschule-musterhausen.de" oder auch nur "beispielschule-musterhausen.de" die formlose Mail.

Wenn Sie eine bei einem anderen Provider registrierte Domain für Ihren Webauftritt nutzen (im Beispiel nennen wir sie "externe-schuldomain.de"), so sollten Sie sicherstellen, dass eine der folgenden E-Mail-Adressen existiert und auch von jemandem gelesen wird:

  • administrator@externe-schuldomain.de oder
  • admin@externe-schuldomain.de oder
  • webmaster@externe-schuldomain.de oder
  • postmaster@externe-schuldomain.de oder
  • hostmaster@externe-schuldomain.de

Wenn die Existenz einer dieser Mailadressen sichergestellt ist, so senden Sie uns eine formlose E-Mail an webmaster (at) belwue.de mit den Namen, auf die das Zertifikat passen soll ("www.externe-schuldomain.de", "moodle.externe-schuldomain.de", ...) und der Angabe, welche der obigen E-Mail-Adressen gültig ist. Dorthin wird eine Bestätigungsaufforderung von der Zertifizierungsstelle des DFN geschickt werden, der Sie nachkommen sollten.

Da dieses Verfahren noch ganz neu ist, können wir hier noch nicht angeben, wie diese Bestätigungsaufforderung genau aussehen wird und von welchem genauen Absender sie kommen wird. Wir werden diese Informationen hier ergänzen, sobald sie uns vorliegen.

Wenn das Zertifikat installiert ist und Sie erzwingen möchten, dass der Webauftritt nur noch über HTTPS aufgerufen werden kann, so legen Sie in Ihrem htdoc/-Verzeichnis eine Datei namens .htaccess ab (oder ergänzen eine bereits vorhandene .htaccess-Datei) mit folgendem Inhalt:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]


Bei vielen CMS lässt sich der HTTPS-Aufruf schon durch setzen entsprechender Variablen (z.B. $site_url o.ä. ) veranlassen, dann ist das Ablegen der .htaccess-Datei nicht nötig. Bei Moodle-Auftritten wird der HTTPS-Aufruf über einen entsprechenden Wert der Variable $CFG->wwwroot erzwungen.

2. Angaben für die Datenschutzerklärung

In Ihrem Webauftritt müssen Sie eine Datenschutzerklärung ablegen und auf jeder Seite verlinken, in der Sie unter anderem erklären, welche Daten in welchem Umfang erfasst und wie lange diese aufgehoben werden. Was die von Ihnen in dem Webauftritt installierten Systeme erfassen und verarbeiten, wissen Sie selbst am besten. Wir geben Ihnen hierzu noch die Informationen, welche Daten von uns auf dem Webserver geloggt werden:

Das BelWü als Betreiber des Webservers erfasst folgende Daten:

  • Datum und Uhrzeit des Zugriffs
  • Vollständige IP-Adresse des zugreifendem Geräts
  • abgerufene Datei oder Funktion mit Abrufmethode (GET oder POST)
  • verwendetes Protokoll
  • Ergebnis des Abrufs (HTTP Status)
  • Zahl der übertragenen Bytes
  • Im Error-Logfile noch zusätzlich den aufgetretenen Fehler


Diese werden 14 Tage lang aufgehoben und nur zu Fehlersuche, Abwehr von Angriffen und sonstige Maßnahmen zur Sicherstellung und Optimierung des Betriebs, sowie für anonymisierte Webstatistiken verwendet und nicht weitergegeben. Eine Herausgabe der Logeinträge an staatliche Stellen und Behörden ist möglich, sofern gesetzliche Vorschriften etwa zur Strafverfolgung oder Gefahrenabwehr dies vorgeben.

Der Schule werden zur Optimierung und Fehlersuche nur anonymisierte Logfiles zur Verfügung gestellt, in denen die IP-Adresse im letzten Byte auf 0 gesetzt wurde, ansonsten umfasst es dieselben Daten wie die Logfiles, die nur das BelWü als Betreiber sieht. Diese anonymisierten Logfiles werden 4 Tage lang auf dem Webserver aufgehoben.

3. Weitere Hinweise

Ausführliche, nicht BelWü-spezifische aber dafür rechtlich abgesicherte Angaben zum Datenschutz an Schulen und die neue Datenschutzverordnung finden Sie auf den Seiten des Kultusmnisteriums:

https://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Datenschutz+an+Schulen

insbesondere der Abschnitt

Hinweise zu Angaben im Internetauftritt von Schulen

Die dort enthaltene Muster-Datenschutzerklärung mit von uns vorgenommenen Anpassungen der Angaben zum Logging an die Einstellungen des BelWü-Servers im Abschnitt 4.1. können Sie sich hier ansehen.