Ich bin seit vielen Jahren bei Strato, um dort meine Webpräsenz zu hosten, für E-Mail etc. Bisher hatte ich keinen Grund zur Klage.
Aktuell baue ich an einer frischen Website. Nichts Großes, kein Shop, nur ein paar Infos und eine kleine Zahl von Links zu Büchern bei Amazon und im Apple Book Store.
Dabei wurde mal wieder das Problem mit der DSGVO (und TCF 2.0) präsent. Denn um mich vor Abmahnungen zu schützen, wollte ich entsprechende rechtskonforme Erklärungen (inkl. Zustimmungs-/Ablehnmöglichkeit) für die Besucher meiner Website "einbinden" (ob direkt als Text oder irgendwie verlinkt, ist mir egal).
Dabei bin ich auf den - nicht überraschenden - Umstand gestoßen, dass Strato auf sämtlichen bei ihnen gehosteten Webseiten trackt (und auch sonst bezüglich Daten abschöpft, was eben möglich ist). Dieses Tracking ist von den Strato-Kunden (auf kleinem Webhosting-Paket-Level) auch nicht zu deaktivieren, wie mir von der Kundenhotline telefonisch mitgeteilt wurde. Wer also meine Website besucht (auf der ich die Daten von genau niemandem erhebe oder verfolge), wird von Strato getrackt und unterliegt deren Datensammelleidenschaft. Ohne Zustimmungs- oder Ablehnungsmöglichkeit - und ohne darüber informiert zu werden, wenn er meine Website (oder die von irgend jemand anderem bei Strato) besucht.
Dennoch bietet Strato keine DSGVO-Tools an - und ich selbst bin auch eher zufällig auf deren Tracking und Datensammlung gestoßen (auch wenn dieses in ihren AGB etc. sicher erwähnt und von mir (ungelesen, wie ich zugebe) akzeptiert wurde).

Frage:
Verstehe ich da etwas falsch?
Immerhin öffnete sich, wenn ich recht hätte, eine gewaltiges Potential zu Abmahnungen wegen nicht-konformer/nicht-vorhandener DSGVO-Erklärung. Welcher Strato-Kunde ist sich schon bewusst, dass Strato über ihn Daten sammelt? Und wer hat das in seiner DSGVO (so vorhanden) berücksichtigt?

Ich habe auf jeden Fall mal deswegen an Strato geschrieben, nachdem die Kundenhotline mir auf meine Nachfrage nichts Substantielles antworten wollte oder konnte.

@john: DANKE!

Wie jetzt? Im zweiten Link steht genau das Gegenteil, von dem, was Du behauptest, nämlich dass Strato außer der IP-Adresse und dem üblichen Webserver-Protokoll keine Daten sammelt. Das ist genau das, was ich schon ganz am Anfang im allerersten Beitrag gesagt hatte.

Und ja, natürlich musst Du Dich um die DSGVO-Erklärung und den Auftragsverarbeitungsvertrag kümmern. Das hängt aber von Inhalt und Zweck Deiner Website ab.

Selbstverständlich nicht. Strato darf nicht helfen, weil das illegal wäre. Du musst die DSGVO-Erklärung entweder selbst schreiben oder sie von einem Anwalt (oder einem gleichgestellten Rechtsbeistand) erzeugen lassen. Der Provider kann keine konkrete Erklärung für Dich erstellen, weil das eine verbotene entgeltliche Rechtsberatung wäre (§6 Rechtsdienstleistungsgesetz).

Aber warum sprichst Du über Cookie-Banner? Am Anfang hast Du noch behauptet "ich sammele keine Daten", aber jetzt willst Du plötzlich Cookies verwenden? Und nicht nur das, es scheint nicht um technische Cookies zu gehen, sondern sogar um zustimmungspflichtige Cookies, also trackst Du sogar aktiv? Was stimmt denn jetzt?

Ich kürze mal deinen Post auf das Wesentliche. Du liest meine Antworten ohnehin nicht (sonst wäre dir sicher nicht entgangen, dass ich deine Frage etwa nach den Daten längst beantwortet habe, als Daten in diesem Thread für mich DSGVO-relevante Daten sind. Und nachdem was ich bisher erfahren habe, sind die Daten die Strato etc. erheben, sammeln oder abgreifen, diese Relevanz haben können (wenn ich nämlich selbst irgendetwas DSGVO-Relevantes auf meiner Seite tue). Damit muss der Benutzer jeden Besucher über diese Datensammlung zumindest informieren (wie ich vermute, müssen aber wohl die Daten sogar zugänglich, löschbar etc. gemacht werden - wie das gehen soll, ist mir vollkommen schleierhaft).
Was dein aggressiver Ton hier bewirken soll, erschließt sich mir noch weniger. Denn wie ja mindestens jeder zweite hier explizit geschrieben hat, ist in diesem Thread eine einzige Versammlung von absolut rechtssicheren DSGVO-Experten. Wie ich mich mit meiner simplen Frage auch nur unterstehen kann, hier zu erscheinen UND vorzusprechen, ist schon unverfroren. Also entschuldige bitte, dass ich dich GEZWUNGEN habe, mich mit meinem Problem zu beschäftigen, dass dir ja längst als unwichtig/blöd/ahnungslos/technisch gar nicht zu ändern/nervig sowieso/Verantwortung zwingend an dich delegierend/zum Kotzen bekannt ist. Also bitte, hier ist nochmal mein spezieller Dank für deine fesselnden, wenn auch für mich unverständlichen und von die auch genau so kommunizierenden Erkenntnisse an den OOberfachmann (mit Doppel-O!)!
Aber du liest ja ohnehin nicht, was ich schreibe ...

Tja, hattest Du nicht letztes Jahr auch schon ganz schlimme Erfahrungen mit dem Apple-Support gemacht?

Aber was „für [Dich] DSGVO-relevante Daten“ sind, das wollen john (und andere hier) doch gerade erst herausfinden und verstehen.

Du hast die Frage eben nicht beantwortet. Du redest drumherum mit DSGVO-relevante Daten, was aber möglicherweise ein Irrtum ist. Das ließe sich aber nur herausfinden, wenn Du die Daten beim Namen nennst. Eine sachhaltige Antwort wäre sowas wie „IP-Adressen, Zugriffszeiten, …”
Sage einfach endlich, welche Daten das sein sollen, dann können andere hier Dir auch sagen, ob die wirklich ein Problem darstellen oder aber Du bei dem, was Du erfahren zu haben meinst, schlicht etwas falsch verstanden hast.
Öhm, also john ist es nicht, der hier aggressiv auftritt …

Ich versuche, noch einmal zu erklären, was meine Frage war und ist.
Meine Sorge ist, dass der Hoster meiner Website irgendwelche DSGVO-relevanten Daten von Seitenbesuchern auf meiner Website erheben, die ich bezüglich der DSGVO-Konformität berücksichtigen muss, deren Inhalt oder Relevanz für die DSGVO mir aber nicht bekannt ist. Deshalb wünsche ich mir Unterstützung bei diesem Thema in Gestalt von klaren, möglichst leicht zu findenden Informationen und gegebenenfalls Hilfsmitteln (s. Cookie Banner etc pp.), die ich zumindest bei Strato bisher nicht gefunden oder erhalten habe.
Nach meinem Verständnis kann (oder ist?) bereits die IP eines Besuchers DSGVO-relevant sein, da sie ihn identifiziert und von meinem Hoster gespeichert wird. Laut DSGVO muss ich den Besucher über diese Speicherung informieren und u.a. dem Besucher ermöglichen, diese Information löschen zu lassen, wenn er das möchte. Was ich aber ohne die Hilfe des Hosters nicht kann.
Wenn ich um Hilfe der Hoster bei der DSGVO nachsuche, dann bezieht sich das ausschließlich, um Hilfe für den Teil von DSGVO-relevanten Daten, die eben vom Hoster selbst erhoben werden. Dass ich zusätzlich natürlich selbst für die von mir erhobenen Daten verantwortlich bin, ist mir vollkommen klar.
Und, um auf deinen zweiten Punkt zu kommen: Ich selbst bin nicht an den Daten der Seitenbesucher interessiert und sammele sie auch nicht. Wenn ich nach Hilfsmitteln für die DSGVO-Konformität meiner Websites frage, dann bezieht sich das - wie schon geschrieben - ausschließlich auf die Daten, die beim Besuch von meinem Website-Betreiber erhoben werden und in die ich selbst eben keinen Einblick habe.
Ich weiß nicht, ob das jetzt klarer geworden ist, aber ich hoffe es.

Was genau was mit dem Thema zu tun hat?
Was du hier machst, wird als ad hominem-Angriff bezeichnet.
Ob du dich auf ein solches Niveau herunter begeben willst, ist allerdings deine Sache.

Treibt den Guten doch nicht so in die Enge. Ich glaube er bemüht sich sachlich zu bleiben. Es kann schon stressig sein, wenn man plötzlich so viele gegen sich hat.

Vieleicht wäre es sinnvoll einen sachlichen Ausgangspunkt für die weitere Diskussion festzulegen. Mein Vorschlag, der ja gemeinschaftlich verbessert werden kann lautet wie folgt:

Provider sind gesetzlich verpflichtet Metadaten auf Vorrat speichern. Dies sind (vor allem/ausschließlich) die IP-Adressen derjenigen, die die jeweilige Seite aufrufen. Diese Speicherung geschieht technisch unabhängig von dem html/css/js(usw.)-Code der Seite, den der Seitenbetreiber auf sein Internetangebot hochlädt. In diesem Code kann der Provider (i.d.R. nur bei Verwendung seines Website-Baukastensystem) eigenen Code - z.B. für Tracking -oder Einbindung von Werbung einschleusen. Egal wie der Code erzeugt wurde, der Webseitenbetreiber haftet nur dafür, aber nicht für die gesetzlich vorgeschriebene Vorratsdatenspeicherung des Providers.

Das Problem, das ich auch benannt habe, ist doch, dass irgendwelche Anwälte meine Seite prüfen könnten und dabei feststellen könnten, dass diese nicht DSGVO-konform ist, und mir eine Abmahnung schicken. Es geht mir daher um alle Daten, die in diesem Zusammenhang juristisch relevant sein könnten. Welche Daten das sein können, weiß ich nicht und kann ich ganz sicher nicht vollständig aufzählen und kann sich wohl auch fallbezogen unterscheiden. Z.B. könnte ich mir vorstellen, dass die Zeitspanne, die jemand auf meiner Webseite verbringt unproblematisch ist, solange diese nicht mit einer, also seiner, IP-Adresse verknüpft ist. Wird sie aber mit der IP-Adresse verknüpft, könnte ich mir vorstellen, dass z.B. die gerade genannte Besuchszeit sehr wohl relevant bzgl. der DSGVO wird.
Ich denke auch, dass sich die großen Hoster genau mit solchen Fragen schon ausführlich beschäftigt haben - und würde mir daher wünschen, dass sie mir für den Teil der Daten, den sie selbst auf meiner Website erheben, entsprechend bei meinem Bemühen um DSGVO-Konformität helfen, um mich auch bezüglich der nicht von mir selbst zu verantwortenden Datenerfassung auf meiner Website abzusichern.
Vielleicht geht hier auch der Begriff Daten im technischen Sinne und im juristischen Sinne durcheinander? Im technischen Bereich kenne ich mich nicht hinreichend aus. Für meine Frage sind ausschließlich solche Daten gemeint, die juristisch unter die DSGVO fallen. Falls jemand eine Liste o.ä. hat, die derartige Daten zusammenstellt, wäre das eine große Hilfe.

Genau das macht STRATO hier:

Das ist schon klar.

Aber offenbar weißt Du doch, dass Strato Daten speichert, sonst gäbe es ja gar keinen Anlass für Deine Befürchtungen.

Die Quelle, aus der Du weißt, dass Strato Daten speichert, wird doch wohl auch auflisten, welche Daten Strato speichert. Wenn Du die hier vollständig nennen könntest, dann können andere, die sich damit auskennen, eben genau diese Deine Frage beantworten, ob diese Daten juristisch relevant sind.

Aus meinem Beitrag kannst Du Dir die Antwort erschliessen!

Das ist mal eine klare Aussage. Meine Frage ist nun, ob der Provider sich auch darauf beschränkt, nur die gesetzlich vorgeschriebenen Informationen zu speichern. Geht er nämlich darüber hinaus, muss ich das hinsichtlich der DSGVO berücksichtigen. Und dabei interessiert auch nicht so sehr, was "branchenüblich" ist, sondern nur, was gesetzlich vorgeschrieben ist.

Diese Angaben stehen bereits im zweiten von sierkb angegebenen Link ganz oben im Thread - worauf ich auch mehrfach hingewiesen habe. Weshalb ich die Frage nach "welche Daten" auch nicht weiter verstanden habe.

Bitte aber nur in dem Kontext sehen, wie ich ihn in meinem Beitrag hergestellt hatte: es ist ein Vorschlag um einen Ausgangspunkt für eine sachliche Diskussion herzustellen.

Mal ehrlich: letztendlich kann man (oder der Provider) auf den Webseiten soviel "tracken" und auswerten wie man möchte ("wie viele Leute haben diesen einen Link gedrückt" ist auch Tracking) – Hauptsache das Vorgehen wird nicht mit Informationen verknüpft, die einen Rückschluss auf eine bestimmte Person zulassen (IP-Adresse, Formular-Eingaben etc.) und es wird nicht Session-übergreifend und damit zuordnungsbar abgespeichert.
Trotzdem gibt es von Strato keine Aussage, ob die Cookies nun technisch relevant sind oder nicht – was dann wieder im Cookie-Banner auf die eine oder andere Art berücksichtigt werden müsste…

Wie mir das weiterhelfen soll, erschließt sich mir nicht. Sie listen auf, was sie sammeln, ja. Aber ob und wie ich das bezüglich der DSGVO-Konformität meiner Website berücksichtigen muss oder sollte und wenn, in welcher Form das geschehen könnte? Dazu finde ich kein Wort. Auch nicht dazu, ob es sich nur um die gesetzlich vorgeschriebene Sammlung handelt oder ob sie mehr sammeln als das Vorgeschriebene.

Da kann ich nichts dergleichen finden.

Die Liste mit den erhobenen Daten, die ich meinte, befindet sich auf .

Und da ist nach meinem Kenntnisstand absolut nichts dabei, weswegen Du eine DSGVO-Erklärung bräuchtest, wenn Du sie nicht aus anderen Gründen, die mit Deiner Website zu tun haben, brauchst. (Ich bin aber kein Rechtsexperte!)

Ja,, sorry,, bin mit der Nummerierung der Links durcheinander gekommen. Ich meine jedoch genau die Seite, die du verlinkt hast.
Und natürlich bist du kein Rechtsexperte. Genauso wenig wie ich selbst. Deshalb fände ich es angebracht, wenn der Provider (Strato) sich hier bezüglich der Relevanz äußern würde. Das wäre genau die Hilfe, die ich mir wünsche.
Dass sie dies nicht dürften (von wegen Rechtsauskunft geben) halte ich übrigens nicht für zwingend stichhaltig. Die DGSVO hat inzwischen immerhin auch ein paar Jahre auf dem Buckel. Es gibt sicherlich erkennbare Tendenzen in der Rechtsprechung und/oder einschlägige Urteile, wie hier was zu werten ist. Und ich denke, zumindest darüber könnten sie auch informieren.

Genau deshalb bist Du doch gesetzlich verpflichtet, vorher einen Auftragsverarbeitungsvertrag mit dem Provider abzuschließen. In dem bescheinigt Dir der Provider, welche Daten warum erhoben werden und dass keine andere Daten erhoben werden. Damit bist Du Deiner Sorgfaltspflicht nachgekommen und kannst in Deiner DSGVO-Erklärung die genannten Daten auflisten.

Du musst alle diese Daten berücksichtigen, falls Du gemäß Inhalt und Zweck Deiner Webseite dazu verpflichtet bist.

Über die konkrete Form dürfen sie nichts sagen. Das darf nur ein Anwalt.

Die Daten werden erhoben. Warum sie erhoben werden, ist jeweils angegeben. Du kannst nicht mehr tun, als diese Informationen (falls nötig) gemäß DSGVO-Vorschriften an die Seitenbesucher weiterzugeben.

Doch, das steht ganz klar in dem Ausschnitt, den Du zitiert hast: Danach verwendet Strato von sich aus nur bei Verwendung bestimmter Tools/Web-Pakete Cookies, und in dem Fall nur solche, die technisch notwendig sind. Die sind weder personenbezogen, noch werden sie dauerhaft gespeichert. Also müssen sie nirgendwo berücksichtigt werden.

Ein Cookie-Banner brauchen nur Leute, die Tracking über Cookies betreiben.

Dass du es in der Datenschutzerklärung berücksichtigen musst, schreiben sie ganz oben. Wenn auch etwas seltsam formuliert:In welcher Form das geschehen soll, zeigen sie mit dem Beispiel in ihrer eigenen Datenschutzerklärung:
Unter 2.c) Log-Daten strato.de/datenschutz/

Du kannst also entweder den Text von Strato übernehmen und auf deinen Fall umformulieren, oder z.B. bei activeMind den DS-Generator durchspielen und schauen, wie es dort formuliert ist, oder ganz eigene Worte dafür finden.

Wo in dem zitierten Text sagt Strato, dass die Cookies technisch notwendig wären?Das sehen eine Reihe von Datenschutz-Beauftragten von unseren Kunden gänzlich anders…

Das ergibt sich implizit aus dem Begriff "Session Cookies".

Nochmals Dank an alle, die mich hier auf wichtige Zusammenhänge hinweisen.
Das ganze stellt sich mir jetzt gerade nach den letzten Posts von Marcel Bresink und mekanikong etwas klarer dar.
Wenn ich allerdings bedenke, was ich hier alles berücksichtigen muss und sollte und was nicht, finde ich den Aufwand für einen kleine Website-Betreiber, der selbst gar keine Daten von seinen Kunden sammelt oder auch nur sammeln mag, geradezu gigantisch (und technisch wie rechtlich verwirrend).
Nochmal Schritt für Schritt, um möglichst Klarheit in diesen Thread zu bringen:
Habe ich es jetzt richtig begriffen, dass ich eine DSGVO-Erklärung brauche, die das Sammeln der von Strato auf meiner Seite erhobenen Daten () abdeckt, auch wenn ich selber überhaupt keine Daten erhebe, sammle oder speichere?
So verstehe ich den Hinweis von Strato, den zuletzt mekanikong hier zitiert hat. ("Im Zuge der Datenschutzgrundverordnung (DSGVO) musst Du die Besucher Deiner Website darauf hinweisen, welche personenbezogenen Daten Deine Website speichert. ")

Ich könnte Dir eine Seite erstellen, deren einziger Zweck ist, lauter Session Cookies im Browser anzulegen – das nennst Du dann auch technisch notwendig?

Sagen wir mal, die Cookies von Strato wären "technisch notwendig" – für wen eigentlich (ist mir immer noch unklar)? Damit der Webauftritt von Rosember korrekt läuft oder damit Strato eventuelle Fehler o. ä. z. B. im Homepage-Baukasten auffinden/analysieren kann. Ist letzteres dann wirklich im Sinne der DSGVO "technisch notwendig"?

Btw.: Ich hoffe inständig, dass irgendwann mal eine allumfassende Rechtsprechung vorliegt (die Hoffnung stirbt zuletzt…), die den ganzen Wahnsinn um "was ist erlaubt/was nicht" beendet. Momentan stochert man nur im Dunklen rum und selbst unter den Datenschutzbeauftragten sind die Meinungen weit auseinandergehend.

Meines Wissens nur, wenn Du die Seite geschäftlich/mit Gewinnerzielungsabsicht betreibst.

Alternativ kann man sich auch einfach mal locker machen …
Eben. Und weil das so ist, gibt es auch wenig zu befürchten. Hast Du schon von einem Fall gehört, wo jemandem in dieser DSGVO-Grauzone übel mitgespielt wurde?

Provider, IT-Dienstleister und Admins sind dazu da die technischen Gegebenheiten klarzustellen und nicht um die daraus resultierenden Rechtsfragen zu klären. Wie du selbst angedeutet hast, gibt es dafür Experten. Der Datenschutzbeauftragte soll ja das Verhalten der anderen überprüfen. Könnte man sein eigenes Verhalten / das der eigenen Firma überprüfen, wäre das fatal.

Fällt da auch drunter, wenn die Seite Links zu Produkten bei beispielsweise Amazon enthält? Denn dadurch würd ich profitieren. Die Seite selbst jedoch bietet keinen Shop an. - ?

Ich bin vor dem Hintergrund der in Deutschland verbreiteten Abmahnpraxis übrigens weniger entspannt als du, was das "locker mache" betrifft. Und gerade rechtlich unscharfe Bereiche ziehen solche Praktiken leider massiv an. Denn wo niemadn klare Auskunft geben kann, ist eben die Verunsicherung hoch - und soll man angesichts solcher Unsicherheiten sich etwa auch noch auf einen möglichen Prozess mit dem Abmahnanwalt einlassen?

Das halte ich in unserer Dienstleistungsgesellschaft für zu wenig. Die Zeiten, in denen man einfach nur eine Festplatte mit Netzwerkzugang gesucht hat, sind vorbei. Wenn ich bei Strato ein Hosting-Angebot kaufe, dann will ich nicht nur den Speicherplatz mit Netzzugang haben. Und das sehen diese Provider auch genauso. Oder warum bieten sie Homepage-Baukästen an, oft in verschiedenen Varianten, je nach Bedarfsfall.
Natürlich hast du recht das die Hoster vermutlich fast alle aus der technischen Ecke kommen. Aber spätestens mit der DGSVO sind diese Tage gezählt (waren sie aber auch vorher schon). Von Deutschlands größtem Hoster erwarte ich deshalb, dass er mir auch hinsichtlich z.B. rechtlicher Fragen hilft und mir ein Info-Angebot zusammenstellt, dass ich nicht mühsam aus irgendwelchen Blog-Seiten zusammensuchen muss. Denn in der Hilfe und den Anleitungen bei Strato, die ich durchsucht habe, war herzlich wenig von dem hier Verhandelten zu finden. Von einem geschlossenen Angebot mal ganz zu schweigen. Das finde ich nicht gut - und das ist, denke ich, auch nicht gut.

Wenn es ein Affiliate-Link ist (sprich, Du bekommst einen Anteil der daraus resultierenden Umsätze), selbstverständlich. Du erzielst ja einen Gewinn.

Wenn Du einfach auf ein Produkt von Amazon verlinkst, ohne dass Amazon davon überhaupt weiß, dann nein.
Die allenthalben befürchte DSGVO-Abmahnwelle ist ja nun aber komplett ausgeblieben. Vielleicht sind die Abmahner einfach genauso verwirrt wie alle anderen. Und bald wird denen, wenn ich recht erinnere, ja ohnehin vom Gesetzgeber das Handwerk gelegt.

Aber wie gesagt: Affiliate-Links, und Du fällst sofort unter die ganzen Vorschriften, das ist eindeutig.

Ich würde sagen: Ja.

Du erhebst zwar selbst aktiv keine Daten, aber du führst Besucher auf deine Website (Link, Suchmaschine, Visitenkarte, ...) und dort werden deren Daten in Log-Files für gewöhnlich 7 Tage gespeichert – weil gesetzliche Vorgabe. Und das sollte man in der DSE erklären.

Daher ist es auch sinnvoll einen Auftragsverarbeitungsvertrag abzuschließen.
Denn so lange du keinen eigene Server von zuhause aus betreibst, ist der Hoster dein "Partner", mit dem du zusammen personenbezogene Daten verarbeitest oder speicherst.
Z.B. Log-Files, Mails, Mail-Adressen, Datenbanken mit Kunden-Daten,etc.

Es wird tatsächlich zwischen 'privaten' und 'geschäftlichen' Websites unterschieden. Aber ich denke, es wird mittelfristig so laufen, wie damals bei der Impressumspflicht, wo letztlich jede Website als 'geschäftsmäßig' angesehen werden musste.

Die Grenze sind oft nicht klar umrissen. Beispiel: Fotograf zeigt tolle Landschaftsaufnahmen vom Urlaub, ganz privat, aber über die Kontaktdaten kann man ihn für Aufträge buchen.

Man könnte auch sagen: Privat ist nur, was sich hinter einem Passwortzugang versteckt.

Wie meinen?

Ich betreibe seit 20 Jahren eine nicht geschäftliche Website, kein Impressum weit und breit, und auch keiner, der sich je darüber beschwert hätte …

Das darf er nicht. Was ist denn daran so schwer zu verstehen? Natürlich würden Firmen wie Strato das ratzfatz tun, wenn es erlaubt wäre. Wäre doch ein prima Werbeargument.

Unabhängige Anbieter, die DSGVO-Hilfe jeglicher Couleur offerieren, gibt es doch nun wie Sand am Meer. Ich verstehe Dein Problem nicht ganz.

Das ist mal wieder sehr binär gedacht. Aber es gibt rechtliche Informationen, die auch unterhalb des Anwaltsrechts bzw. -status laufen können. Schließlich gibt es auch ausreichend Infos zu der Frage, was beispielsweise beim Immobilienerwerb rechtlich zu beachten ist. Insofern halte ich dieses Argument für vorgeschoben (warum auch immer).

Das stimmt leider nicht. Zum Beispiel unterliegt auch ein gemeinnütziger Verein dem Datenschutzrecht.

Gemäß §1 Abs. 1 Punkt 2 BDSG muss quasi jeder, der Daten verarbeitet, den Datenschutz beachten, es sei denn, "die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten."

Ich finde die Situation auch weiterhin sehr unbefriedigend. Auf der Seite erläutert ein Anwalt etwa, unter welchen Bedingungen ich einen Auftragsdatenverarbeitungsvertrag (AVV) abschließen sollte. Das gelte vor allem wenn ich:
- Google Analytics oder andere Tracking Software nutze
- Externe Dienstleister für Ihre Newsletter und Marketingaktionen nutze
- Externe Unternehmen mit der Buchhaltung/ Gehaltsabrechnung beauftrage
- Ihr Rechenzentrum ganz oder teilweise outsource
- Fernwartungssysteme einsetze.
Nichts davon tue ich.
Warum sollte ich also einen AVV mit Strato schließen? Das wird mir jedoch gerade auch von Strato empfohlen, u.a. um ihre eigenen Zugriffe auf die Verbindungsdaten meiner Seitenbesucher bzgl. DSGVO abzusichern, von denen niemand zu wissen scheint, ob es ausschließlich gesetzlich vorgeschriebene Infos sind, die der Hoster sammeln muss oder nicht.
Ich sehe mich daher von meinem Hoster irgendwie in die Situation gebracht, mich nur wegen der Datenzugriffe des Hosters überhaupt mit diesem DSGVO-Thema befassen zu müssen. Und das gefällt mir nicht.

Äh, ja, aber Rosember ist ja nun eine Person und kein Verein. Insofern dreht sich die Frage doch nur darum, wann Personen dem Datenschutzrecht unterliegen.

Die Krux liegt in diesem Fall wenn, dann doch wohl eher in der Auslegung des megaschwammigen Begriffs der persönlichen Tätigkeit. Wenn ich mich recht erinnere, reicht das Meinungsspektrum von Juristen da von Was ich lediglich im engsten Familienkreise täte bis zu Alles, womit ich kein Geld verdienen will – je nach Weltbild des Juristen.

Weswegen ich das alles nicht erst nehmen kann.

Wenn Du Affiliate-Links setzt, ist das schlicht falsch. Dann betreibst Du eine Seite mit Gewinnerzielungsabsicht, und dann unterliegst Du ohnehin der DSGVO.

Wenn Du keine Affiliate-Links setzt und auch sonst keinen Gewinn aus der Seite ziehst, kann Dir egal sein, was Dir Strato vorschlägt – die wollen halt nach Möglichkeit zu 200% abgesichert sein, aber das kann Dir ja egal sein.

Deine Formulierung nur wegen der Datenzugriffe des Hosters klingt immer so, als mache Strato das aus finsterer Absicht. Aber das ist Quatsch. Das sind Daten, die praktisch jeder Webserver (ich meine die Software) auf der Welt erhebt, um seine Aufgabe erfüllen zu können. Und ist DSGVO-mäßig irrelevant, solange Du nichts anderes DSGVO-Relevantes tust.

Nur wenn Du etwas DSGVO-Relevantes tust (wie z.B. Affiliate-Links setzen), dann musst Du in der dann erforderlichen Datenschutzerklärung auch die Daten auflisten, die die Webserver von Strato speichern.

eRecht24 (02.04.2020): DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?
Den Begriff „Auftragsverarbeitung“ hat fast jeder schon einmal gehört. Aber kaum ein Webseitenbetreiber weiß, was dieser Begriff praktisch bedeutet. Dabei ist ein AV-Vertrag für die meisten Webseitenbetreiber ein Muss: mit Google Analytics, mit Ihrem Newsletter-Anbieter oder mit Ihrem Hoster. Auch Agenturen und Webdesigner müssen mit ihren Kunden häufig einen eigenen AV-Vertrag abschließen. Wir zeigen Ihnen, was Sie wirklich zu AV-Verträgen wissen müssen und was sich durch die DSGVO geändert hat.

activeMind AG: Auftragsverarbeitung nach DSGVO
Ob Cloud-Computing, CRM-System, Newsletter oder technische Wartung – sobald personenbezogene Daten im Auftrag weisungsabhängig verarbeitet werden, liegt eine Auftragsverarbeitung (AV) vor.

activeMind AG (25.06.2020): Muster: AV-Vertrag auf Basis DSGVO
Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt. Die Anforderungen an einen solchen Vertrag über die Auftragsverarbeitung personenbezogener Daten sind mit der DSGVO gestiegen. Zwar sind im Vergleich zum bisherigen § 11 BDSG a.F. weichere Regelungen aufgestellt, was den Vertrag an sich angeht. Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird jedoch insgesamt deutlich schärfer ausgestaltet, als es nach dem BDSG a.F. der Fall war. …

Projekt 29 (26.06.2018): Wann ist ein AV-Vertrag nötig? Datendrittverarbeitung im Online-Shop
Formen tatbestandlicher Auftragsverarbeitung • Konstellationen ohne AV-Charakter

Dr. Datenschutz (12.04.2018): Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?
Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal?

Bayerisches Landesamt für Datenschutzaufsicht: Datenschutzkonferenz (DSK), Offizielles Kurzpapier Nr. 13 (16.01.2018): Auftragsverarbeitung, Art. 28 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –DSK) dient als erste Orientierunginsbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen möglicherweise abweichenden Auslegung des Europäischen Datenschutzausschusses. (PDF, 5 Seiten)

Sagen wir, ich benutze keine affiliate links. Aber Strato sammelt die bei Strato angegebenen Daten von Besuchern meiner Website und speichert diese für sieben Tage. Dann stellt sich mir einfach die Frage, wer die Besucher meiner Seite darüber informiert und ob eine Information der Besucher nötig ist. Bei Strato finde ich nämlich keine klare Auskunft darüber, ob die in diesem Fall erhobenen Daten lediglich das vom Gesetzgeber vorgeschrieben Minimum darstellen oder darüber hinausgehen. Wenn sie darüber hinausgehen, müsste ich die Besucher darüber informieren, d.h. meine Seite DSGVO-konform absichern.
Meine Frage ist also, ob ich mir bei Strato eine Homepage zulegen und auf ihr "Hello world!" posten kann, ohne eine DSGVO-konforme Absicherung bauen zu müssen, weil leider Strato ein paar Daten speichert.

Danke sierkb für die erneut interessanten Links. Ich bin an der Formulierung "weisungsabhängiger Dienstleister" hängen geblieben. Für mich stellt sich die Frage, ob Strato in Hinblick auf ihre Datenspeicherung ein solcher weisungsgebundener Dienstleister ist. Bezüglich der von Strato auf meiner Website erhobenen Daten, sind sie vermutlich nicht an meine Weisung gebunden. Damit wäre ich freigestellt, wenn ich nicht selbst irgendwelche Daten sammle.
Aber wer ist dann für diese Daten verantwortlich (im Sinne der DSGVO)? Und wie wird mein Benutzer darüber informiert, wer da was mit seinen Daten macht?

alter schwede.. krasser thread..

Rosember:

Sie hosten für Dich in Deinem Auftrage/Weisung Deine Webseite.

Welche Daten erhebst Du selber denn auf Deiner Webseite? Wenn Du dort keinerlei Daten erhebst, ist da außer der obligatorischen IP-Adresse (die der Web-Server des Hosters neben dem Client-User-Agent (Browser-Kennung des zugreifenden Clients), Zugriffs-Zeitpunkt, technisch bedingt mitloggt (schon immer) und rechtlich bedingt für ein paar Tage aufbewaren muss auch nix, das Du dem Provider/Hoster an Nutzer- oder personenbezogenen Daten überantwortest.

Ich schließe mich in fast allen Punkten meinen Vorrednern an und verstehe nicht, wo eigentlich Dein Problem liegt. Mein Eindruck: Du hast Du da so Einiges durcheinanderbekommen und vermengst es fälschlich miteinander (Stratos Webseiten sind Stratos Webseiten und in deren Verantwortungsbereich, Deine Webseiten sind Deine Webseiten und in Deinem Verantwortungsbereich, und was Strato über die obligatorischen und rechtlich verpflichteten IP-Adressen bzw. Zugriffsprotokollen seiner Web-Space-Kunden noch speichert (speichern muss), darüber geben sie offen Auskunft bzw. das regelst Du im Zweifel selber mit denen in Form eines AV-Vertrags mit dem jeweiligen Anbieter, sollte bei Dir mehr anfallen als die genannten Web-Server-Zugriffsprotokolle) und ziehst aus Unkenntnis in der Sache eine ganze Reihe falsche Schlüsse und unbegründeter Sorgen daraus.

Ja. Zumindest, was Deinen Provider angeht, sofern Du selber nicht irgendwas, irgendeinen Service auf Deinen Webseiten eingebunden hast, mit dem Du evtl. völlig unabhängig davon einen AV-Vertrag abschließen musst, weil Du ihm personenbezogene oder personenbeziehbare (zwischen den beiden Begriffen wird aus gutem Grund unterschieden) Daten überantwortest bzw. mit ihm austauschst.

+1

Du. Es ist Dein Job, weil Deine Webseite, Deine Verantwortlichkeit. Es ist nicht der Job, nicht die Verantwortlichkeit Deines Providers/Hosters. Du musst sicherstellen und darüber transparent und leicht zugänglich informieren, was auf Deiner von Dir erstellten Webseite geschieht bzw. nicht geschieht, dazu ist eine von Dir bereitgestellte Datenschutzerklärung da, das an der Stelle zu tun (der Provider kann Dir dabei Hilfestellung geben und Dir bei der Formulierung ggf. helfen oder einen entspr. Generator bereitstellen (vielleicht tut Strato das ja sogar, das müsste ja leicht rauszubekommen sein), er muss es aber nicht).

Rosember, hast Du den sehr hilfreichen Hinweis von mekanikong inzwischen beherzigt und umgesetzt?
Wenn nein, dann lege ich ihn Dir hiermit erneut sehr nahe. Setze das erstmal bitte um. Damit ist bereits viel erreicht und so manche Deiner Fragen automatisch beantwortet. Auch ein Hinweis auf die obligatorischen und zwingend anfallenden, technisch wie rechtlich notwendigen und unabdingbaren Webserver-Zugriffsprotokolle (das meinte der Strato Kundendienst mit großer Wahrscheinlichkeit damit, als er Dir wahrheitsgemäß geantwortet hat, dass sie Daten erheben) ist darin enthalten, wenn Du damit fertig bist.

activeMind AG: Datenschutzerklärung nach DSGVO kostenlos erstellen (Stand: 30.09.2020)

Ein anderer bekannter kostenfreier Generator für eine solche Datenschutzerklärung ist z.B. auch dieser hier:

eRecht24: Datenschutz Generator - Kostenlose Muster-Datenschutzerklärung (nach DSGVO)

@sierkb:
Danke für dein Bemühen.
Aber ich bringe nichts durcheinander und habe ich auch nicht. Ich versuche es noch ein letztes Mal:
Ich erstelle eine Website, für deren Datensammeln ich ganz allein verantwortlich bzgl. DSGVO bin.
Ich will die Seite bei einem Hoster hochladen. Wenn ich das tue und sonst nichts weiter wäre, wäre ich allein verantwortlich für alle gesammelten Daten. Das ist auch nichts Neues.
Nun kommt allerdings der Hoster ins Spiel. Dieser sammelt Informationen auf meiner Seite ein. Notwendige, also gesetzlich vorgeschriebene Daten, für die ich keine DSGVO-Erklärung etc. brauche, wie ich heute gelernt habe.
Wäre das alles, wäre jier Schluss und alles gut und klar.
Aber mein Hoster Strato sammelt auch Daten, die nicht gesetzlich vorgeschrieben werden. Er sammelt sie, um mir besseren Service oder was auch immer bieten zu können (Statistiken, Daten, die auf Angriffe hinweisen können etc. (vgl. Log-Files).
Diese Daten sammelt und speichert er für eine Woche. Und er sammelt sie in meinem - mir relativ unbewussten - Auftrag weil ich ihn als Hoster gemäß seinen Vertragsbedingungen - nicht bewusst, aber dennoch juristisch bindend - damit beauftragt habe.
Auch das ist noch klar.
Das aber heißt und bedeutet, dass ich auch für dieses Sammeln über meine Website bzgl. aller DSGVO-Angelegenheiten verantwortlich bin.
Ich weiß jedoch nicht genau, was Strato bei mir sammelt und was es damit macht, auch wenn Strato dazu vage Angaben macht (s. Log-Daten) und ich bin keinesfalls in der Lage, die entsprechenden Daten auf Verlangen eines Besuchers herauszugeben oder zu löschen. Deshalb besteht für mich quasi die Pflicht, einen Auftragsdatenverarbeitungsvertrag (AVV) mit Strato zu schließen. Und zwar unabhängig davon, ob ich nun einen Shop auf meiner Seite betreibe oder nicht, wie der Zusammenhang auf Stratos Seite verkauft wird (wer keinen Shop hat, brauche keinen DSGVO-Kram - wird dort zumindest suggeriert, denn es gibt fast nur Hilfe-Inhalte zur DSGVO mit Shop-Bezug - aber das ist ein Nebenthema).
Nach meinem Verständnis bin ich damit also gezwungen, eine DSGVO-Erklärung etc. auf meiner Seite zu haben, auch wenn ich selber nur "Hello World" dort stehen haben sollte, weil Strato sich nicht auf das ausschließliche Sammeln der der gesetzlich vorgegebenen Daten beschränkt, sondern mehr macht, wie z.B. Statistiken für mich anbieten oder Angriffe abwehren (durchaus nützliche Dinge, die jedoch rechtlich die Folge haben, dass ich als Website-Betreiber den ganzen DSGVO-Kladderadatsch an der Backe habe.
Ob mir das die Mühe wert ist, steht auf einem anderen Blatt, aber da ich bei Strato bin, ist das nunmal so.
Ich betreibe (mal angenommen) nur eine "Hello World"-Seite, muss aber plötzlich umfängliche DSGVO-Aspekte berücksichtigen, weil ich bei Strato bin und Strato nun einmal macht, was Strato so macht.
Wäre meine website hingegen bei einem Anbieter, der ausschließlich die gesetzlich vorgeschriebenen Daten sammelt, könnte ich mich mit meiner "Hello World"-Website einfach zurücklehnen und sagen: Fein, das war's. Hochgeladen und alles ist gut. Und ich bräuchte keine Sorge wegen irgendwelcher Abmahnanwälte zu haben.
Aber Strato sammelt halt ein paar Daten mehr. Und deshalb muss ich einen AVV mit Strato schließen. Und deshalb muss ich mich mit dem ganzen DSGVO-Zeug herumplagen. Was ich beides nicht schön finde. Aber da ich bei Strato bin und sich die Datensammelei nun einmal nicht begrenzen oder deaktivieren lässt, muss ich dadurch.
Deshalb hätte ich es sehr hilfreich gefunden, wenn Strato mir ein Tool anbieten würde, mit dem sie meinen Besuchern erklären, was sie mit den Daten von meiner Seite machen und vorhaben, damit diese DSGVO-Arbeit nicht bei mir hängen bleibt. (Und es ist klar, dass ich dieses Tool ergänzen müsste, um die DSGVO-Konformität meiner Seite zu sichern, sollte ich selber anfangen Daten zu sammeln.
Strato biete nichts Vergleichbares an (obwohl sie da könnten, denn die Verbreitung eines Tools ist sicher keine Rechtsberatung).
Und das habe ich kritisiert.
Und zwar habe ich es nicht nur für mich und meine eigene "Hello World"-Homepage kritisiert, sondern für all die anderen "Hello World"-Seitenbetreiber gleich mit, die nämlich alle ebenfalls eine AVV mit Strato abschließen und sich überlegen müssen, wie sie die Datenabgriffe von Strato, die über das gesetzliche Mindestmaß hinausgehen, in ihrem DSGVO-Zeug berücksichtigen.
Und genau das habe ich zumindest versucht, in diesem Thread von Anfang an zu thematisieren.

Seht ihr hier irgendwelche Denkfehler oder Irrtümer etc.? Dann bin ich dankbar für entsprechende Hinweise.

Das stimmt nicht.

Das macht fast jeder Hoster. Das würde sogar Deine eigene Synology machen, die Du zu Anfang erwähnt hast. Es gibt bei einigen Hostern die Möglichkeit, die Protokollierung feinzujustieren, also z.B. wahlweise volle IP-Adressen, pseudonymisierte Adressen oder anonymisierte Adressen im Protokoll zu speichern, aber Daten werden grundsätzlich erfasst, sonst würden einige Basiseigenschaften des Web-Servers überhaupt nicht mehr funktionieren.

Das stimmt nicht. Die Daten und die Gründe für die Erfassung sind genau aufgelistet.

Doch, das bist Du. Du kannst die Log-Daten Deines eigenen Web-Auftritts jederzeit einsehen. Gelöscht werden die Daten ja bereits automatisch. Du wärst auch nicht verpflichtet, die Daten zu löschen, wenn es einen begründeten, höher wiegenden Rechtsgrund gibt, sie weiter aufzubewahren.

Nein, dann gilt genau das gleiche, falls Deine Website der DSGVO unterliegt.

Das dürfen sie nicht. Und Du bist der Betreiber der Website. Der Provider stellt nur die Technik.

Ja. Und weil Du immer und immer wieder die gleichen falschen Behauptungen wiederholst, kam und kommt hier von allen Seiten heftige Gegenwehr.

im uebrigen sind die daten, mit denen statistiken bereitgestellt werden koennen oder angriffe abgewehrt werden koennen, die exakt gleichen, wie die bereits mehrfach angesprochenen und voellig normalen und gesetzlich vorgeschriebenen: das access.log

(das hat nichts mit „zusaetzlicher“ oder „datensammelei“ zu tun.)

in das du uebrigens auch selber reingucken kannst (wuerde mich jedenfalls wundern, wenn das bei strato als kunde nicht moeglich waere)
diese frage hast du nun zum wiederholten male unter deine postings gesetzt und jedes mal erklaeren wir es erneut. deine antwort darauf faellt dann leider alles andere als „dankbar“ aus sondern wiederholt extrem echauffierend und agressiv.
was soll denn das?

so wie du es übrigens formulierst ("so wie es bei strato ist"), klingt das bei dir übrigens dauernd danach als sei das irgendwas strato-spezifisches und vor allem was ganz schlimmes, was der "böse" konzern namens strato "dir" da "antut".

das ist weder etwas strato-spezifisches, noch irgendein unrecht, frevel, skandal oder sonst was.
das ist etwas völlig normales im hosting.

Hast du dafür einen Beleg?

einen klar
RFC 931