- Wo finde ich weiterführende Informationen zum Datenschutz bei IPAX?
- Welche technischen und organisatorischen Maßnahmen stellt IPAX im Rahmen meiner Produkte zur Verfügung?
- Ich möchte einen Auftragsverarbeitung Vertrag gemäß Art. 28 DSGVO mit Ihnen abschließen.
- Ist der Abschluss des Auftragsverarbeitungsvertrages mit Kosten verbunden?
- Wo kann ich den Auftragsverarbeitungsvertrag abschließen?
- Was ist der Unterschied zwischen dem Auftragsverarbeitungsvertrag und dem Vertrag den ich bereits mit IPAX habe?
- Was soll ich beim Abschluss des Auftragsverarbeitungsvertrages bei "Arten von personenbezogenen Daten" und "Kategorie betroffener Personen" angeben?
- Wann muss ich einen Auftragsverarbeitungsvertrag mit IPAX abschließen?
- Sind meine Daten bei IPAX sicher und muss ich selbst etwas tun um zur Sicherheit beizutragen?
- Bis wann muss ich einen Auftragsverarbeitungsvertrag abschließen?
- Wann muss ich einen Auftragsverarbeitungsvertrag abschließen wenn ich mein Produkt gekündigt habe?
- Ich nutze nur E-Mail Dienste von IPAX, muss ich deshalb einen Auftragsverarbeitungsvertrag abschließen?
- Ich möchte einen Datenschutzbeauftragten bzw. Vertreter bekannt geben.
- Werden im Zuge meines Produktes Log-Dateien mit personenbezogenen Daten Dritter gespeichert?
- Wie lange werden anonymisierte und vollständige Log-Dateien gespeichert?
- Kann ich Log-Dateien oder die Besucherstatistik Löschen?
- Warum sollte ich Logfiles oder Statistik löschen?
- Warum ist bei manchen Produkten kein Auftragsdatenverarbeitungsvertrag verfügbar?
- Warum beantwortet IPAX keine Fragen wie ich meine Website DSGVO konform betreiben kann?
- Wenn ich IPAX Produkte nur zur Speicherung von Daten von Firmen benutze, muss ich dann trotzdem einen Auftragsverarbeitungsvertrag abschließen?
- Bietet IPAX technisches Consulting zu Sicherheitsmaßnahmen an?
- Ich möchte eine individuelle, von Ihrem Standard-Vertrag abweichende Vereinbarung zur Auftragsdatenverarbeitung abschließen.
- Ich möchte mein Kundenkonto gemäß DSGVO löschen.
Wo finde ich weiterführende Informationen zum Datenschutz bei IPAX? #
Die Datenschutzerklärung Kunde kann hier eingesehen werden: https://www.ipax.at/agb/datenschutzerklaerung.
Welche technischen und organisatorischen Maßnahmen stellt IPAX im Rahmen meiner Produkte zur Verfügung? #
Eine vollständige Liste an technischen und organisatorischen Maßnahmen (TOMs) findet sich unter: https://www.ipax.at/agb/toms. Je nach Produkt kommen unterschiedliche Ausprägungen von Maßnahmen zur Anwendung.
Ich möchte einen Auftragsverarbeitung Vertrag gemäß Art. 28 DSGVO mit Ihnen abschließen. #
Das IPAX Control Panel unter https://cp.ipax.at bietet im Menüpunkt “Verträge” die Möglichkeit individuelle Auftragsverarbeitungs-Verträge abzuschließen.
Ist der Abschluss des Auftragsverarbeitungsvertrages mit Kosten verbunden? #
Beim Abschluss des Auftragsdatenverarbeitungsvertrages über das IPAX Control Panel fallen keine zusätzlichen Kosten an. Nur bei individuellen Vereinbarungen können Kosten entstehen. (siehe https://www.ipax.at/agb/kostensaetze)
Wo kann ich den Auftragsverarbeitungsvertrag abschließen? #
Den Auftragsverarbeitungsvertrag finden Sie im IPAX Control Panel unter https://cp.ipax.at unter dem Menüpunkt Verträge. Die Zugangsdaten zum IPAX Control Panel finden Sie in Ihren IPAX Zugangsdaten. Sollten sie diese nicht mehr auffinden verwenden Sie den Passwort-Vergessen Link auf der Login-Seite um sich ein neues Passwort zuschicken zu lassen.
Was ist der Unterschied zwischen dem Auftragsverarbeitungsvertrag und dem Vertrag den ich bereits mit IPAX habe? #
Der Dienstleistungsvertrag regelt, welche Leistungen wir Ihnen gegenüber erbringen. Die Daten die Sie uns beim Vertrag bekannt geben, werden bei IPAX gemäß der IPAX Datenschutzerklärung – Kunde (siehe https://ipax.at/legal) geschützt. Wenn Sie Ihr IPAX Produkt aber zur Speicherung personenbezogener Daten von Dritten verwenden, verlangt die Datenschutzgrundverordnung, dass ein Vertrag abgeschlossen wird, welcher die Pflichten und Rechte von Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter), sowie die technischen und organisatorischen Schutzmaßnahmen dokumentiert. Der Auftragsverarbeitungsvertrag stellt klar, dass IPAX die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.
Was soll ich beim Abschluss des Auftragsverarbeitungsvertrages bei “Arten von personenbezogenen Daten” und “Kategorie betroffener Personen” angeben? #
Bei diesen Feldern handelt es sich um Informationen zu Daten die Sie auf unsere Server laden und die wir dementsprechend für Sie speichern (=verarbeiten). Geben Sie daher die Art der Daten an, die Sie auf unsere Server hochladen oder speichern (oder auf sonstige Weise verarbeiten). Bei Produkten mit Mailhosting werden in der Regel Ihre E-Mails von uns gespeichert. Bei Webhosting Produkten empfiehlt es sich jedenfalls Website Besucher anzuführen, sofern hierbei nicht anonymisierte IP Adressen oder sonstige personenbezogene Daten erfasst werden. Wenn Sie auf unseren Servern noch andere Daten verarbeiten, geben Sie diese zusätzlich an (z.B. Mitarbeiter Daten, wenn Sie eine Mitarbeiterdatenbank betreiben. Kundendaten wenn Sie eine Kundendatenbank oder einen Webshop betreiben). Gleiches gilt auch für die Kategorie der betroffenen Personen. Dabei handelt es sich um die Personen, die durch die von Ihnen auf unseren Servern gespeicherten (oder anderwärtig verarbeiteten Daten), betroffen sind.
Wann muss ich einen Auftragsverarbeitungsvertrag mit IPAX abschließen? #
Ein Auftragsverarbeitungsvertrag muss abgeschlossen werden, wenn Sie IPAX Produkte nutzen um personenbezogene Daten von Dritten auf unseren Servern speichern (oder anderwärtig verarbeiten). Beispiele dafür sind: Erfassen von personenbezogenen Daten für Website Besucherstatistiken, Kundendaten beim Betrieb eines Webshops oder einer Kundendatenbank. Speichern von E-Mails (sofern dies nicht durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiären Tätigkeiten erfolgt). Wenn Sie jedoch keinerlei personenbezogenen Daten von anderen Personen auf unseren Servern speichern, oder anderwärtig verarbeiten (z.B. Erfassen, Organisieren, durch Übermittlung offenlegen etc.) müssen Sie keinen Auftragsverarbeitungsvertrag mit uns abschließen. Beispiel: Speicherung von reinen Nutzdaten ohne personenbezogene Daten (z.B.: Programm-Code, Word, Excel, PDF, Etc deren Inhalt keine personenbezogenen Daten von Dritten enthält, Pläne oder CAD-Zeichnungen), Nutzung eines Cloud-Speicher Produktes zu ausschließlich persönlichen Zwecken durch eine Privatperson.
Sind meine Daten bei IPAX sicher und muss ich selbst etwas tun um zur Sicherheit beizutragen? #
Ihre Daten sind bei IPAX sehr sicher (siehe https://www.ipax.at/agb/toms ), jedoch ist es unerlässlich dass Sie ebenfalls zur Sicherheit beitragen. Wenn Sie Software (gängige Content Management Systeme wie WordPress, Joomla, Typo3, bzw. allgemeine Homepage-Programmierungen) auf IPAX Servern hochgeladen haben und betreiben, ist es wichtig dass diese Software sicher ist und regelmäßig gewartet wird. Fast täglich finden Hacker oder Sicherheitsforscher neue Sicherheitslücken oder Angriffswege, Hacker scannen das Internet automatisiert nach veralteten Version von gängigen Content Management Systemen und Hacken diese teilweise vollautomatisiert. Aus diesem Grund ist es wichtig, dass die von Ihnen verwendete Software aktuell ist und regelmäßig aktualisiert wird. Des Weiteren ist es wichtig, dass Sie ein sicheres Passwort verwenden. Dieses sollte möglichst lang sein, Ziffer- undSonderzeichen enthalten, Groß- und Kleinbuchstaben enthalten und nicht nur aus einzelnen Worten (oder gar einem einzigen Wort) bestehen. Auch sollte nicht immer das Gleiche Passwort verwendet werden. Für Inspirationen kann ein Passwortgenerator verwendet werden.
Bis wann muss ich einen Auftragsverarbeitungsvertrag abschließen? #
Bei neuen Bestellungen/Produkten sollten Sie den Vertrag abschließen, bevor Sie personenbezogene Daten auf IPAX Server speichern (oder damit beginnen anderwärtig Verarbeitungstätigkeiten auszuführen). Wenn Sie bereits personenbezogene Daten auf IPAX Servern speichern (oder anderwärtig verarbeiten), sollten Sie den Vertrag möglichst schnell abschließen.
Wann muss ich einen Auftragsverarbeitungsvertrag abschließen wenn ich mein Produkt gekündigt habe? #
Fällt das Datum der Vertragsbeendigung (Wirksamwerden der Kündigung) nach dem 25.05.2018 ist ein Auftragsverarbeitungsvertrag abzuschließen, sofern weiterhin personenbezogene Daten auf IPAX Servern gespeichert sind (oder anderwärtig verarbeitet werden). Wenn Sie selbst alle Daten löschen und alle Erfassungen von Daten (z.B. Besucherstatistik) deaktivieren, muss kein Auftragsverarbeitungsvertrag abgeschlossen werden. Alternativ können Sie über unseren Support eine sofortige Deaktivierung/Deprovisionierung anfordern. Im Anschluss wird Ihr Produkt unabhängig vom Beendigungsdatum sofort deaktiviert und alle Daten durch uns gelöscht (Entbindet aber nicht von der vertraglichen Entgelt-Zahlungspflichten).
Ich nutze nur E-Mail Dienste von IPAX, muss ich deshalb einen Auftragsverarbeitungsvertrag abschließen? #
Bei der Nutzung von E-Mails werden durch Sie als Verantwortlichen personenbezogene Daten von Dritten (wie E-Mail Adresse, oder Name oder andere in der E-Mail enthaltene personenbezogenen Daten) auf IPAX Servern gespeichert. Die Speicherung ist eine Verarbeitung im Sinne der DSGVO. Daher sind wir für diese Verarbeitungstätigkeit Ihr Auftragsdatenverarbeiter und es ist gemäß DSGVO ein Auftragsdatenverarbeitungsvertrag, welcher die Verantwortlichkeiten und Schutzmaßnahmen etc. dokumentiert, abzuschließen. Sollte der E-Mail Account nur durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten genutzt werden (z.B.: Privates E-Mail Konto), ist kein Auftragsdatenverarbeiter Vertrag notwendig, da dieser Tatbestand von der Geltung der DSGVO ausgenommen ist.
Ich möchte einen Datenschutzbeauftragten bzw. Vertreter bekannt geben. #
Im IPAX Control Panel unter https://cp.ipax.at kann im Menüpunkt “Profil” ein eigenständiger Kontakt definiert werden.
Werden im Zuge meines Produktes Log-Dateien mit personenbezogenen Daten Dritter gespeichert? #
Bei allen IPAX Webhosting Produkten und von IPAX gewarteten Servers (Servermanagement, Managed Webserver, Cluster Management) werden Log-Dateien gespeichert. IPAX bietet Ihnen drei Auswahlmöglichkeiten:
a) Keine Zugriffs- und Fehler-Logs. In diesem Fall werden keinerlei Daten gespeichert. Wenn Sie sich für diese Option entscheiden, steht die Besucherstatistik jedoch nicht mehr zur Verfügung und Sie haben keine Fehler-Logs.
b) Zugriffs- und Fehler-Logs mit anonymisierten IP-Adressen. Die IP-Adressen werden vom Server vor dem Abspeichern in der Log Datei durch Ausnullen des letzten Blocks der IPv4 Adresse so umgeschrieben, dass nicht mehr auf eine konkrete Person geschlossen werden kann. Die IPAX Besucherstatistik und die Fehler-Logs stehen Ihnen mit anonymisierten IP-Adressen zur Verfügung.
c) Zugriffs- und Fehler-Logs mit vollständigen IP-Adressen. Die IP-Adressen werden unverändert in die Log-Dateien gespeichert. Besucherstatistik und Fehler-Logs stehen Ihnen wie bisher zur Verfügung. Da ein Rückschluss auf eine konkrete Person möglich ist, handelt es sich allerdings um personenbezogene Daten, die in Ihrem Auftrag erfasst und verarbeitet werden. Stellen Sie sicher, dass dies im Einklang mit der DSGVO (Rechtgrundlage, Verarbeitungsverzeichnis, etc.) erfolgt.
Wie lange werden anonymisierte und vollständige Log-Dateien gespeichert? #
Die Log-Dateien werden 7 Tage gespeichert und danach automatisch gelöscht. Manche Daten aus den Log-Dateien werden zur Erstellung der Besucherstatistik herangezogen und bleiben in der Statistik gespeichert, bis Sie aktiv von Ihnen gelöscht werden.
Kann ich Log-Dateien oder die Besucherstatistik Löschen? #
Ja! In Ihrem IPAX Control Panel https://cp.ipax.at/ unter dem Menüpunkt Webspace klicken Sie bei dem gewünschten Webspace auf “Bearbeiten”. Unter dem Reiter “Log & Statistik” können Sie sowohl die Log-Dateien als auch die Besucherstatistik getrennt voneinander löschen.
Warum sollte ich Logfiles oder Statistik löschen? #
Das Löschen kann nützlich sein, wenn Daten gespeichert wurden, welche jetzt nicht mehr Ihren datenschutzrechtlichen Anforderungen entsprechen. Zum Beispiel: wenn für die dringende Behebung eines Fehlers oder eines Hackangriffes die vollständige Speicherung aufgrund berechtigtem Interesse erfolgt ist. Wurde der Fehler behoben oder der Angriff abgewehrt, fehlt möglicherweise die Rechtsgrundlage um die Daten weiterhin zu speichern.
Warum ist bei manchen Produkten kein Auftragsdatenverarbeitungsvertrag verfügbar? #
Bei bestimmten Produkte findet keine Auftragsdatenverarbeitung durch IPAX statt (z.B.: Serverhousing bei dem IPAX nur Internetanschluss, ausfallsicheren Strom und einen sichern Stellplatz zur Verfügung stellt). Manche Produkte sind nicht zur Auftragsdatenverarbeitung vorgesehen oder geeignet (Voiceserver sind als Consumer Produkte konzipiert. Die Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, ist von der DSGVO ausgenommen). Andere Produkte sind Ihrem Wesen nach nicht zur Auftragsdatenverarbeitung geeignet. (z.B. auf Sie (unseren Vertragspartner) registrierte Domains oder ausgestellte SSL Zertifikate die nur Ihre Daten enthalten – Die Verarbeitung Ihrer Kundendaten durch IPAX ist in der IPAX Datenschutzerklärung Kunde geregelt).
Warum beantwortet IPAX keine Fragen wie ich meine Website DSGVO konform betreiben kann? #
IPAX ist es gesetzlich untersagt Rechtsberatung anzubieten (§ 57 RAO), da diese Tätigkeit nur von ausgewählten Berufsständen ausgeübt werden darf. Aus diesem Grund können wir keine diesbezüglichen Fragen beantworten. Wir dürfen Ihnen daher auch weder erklären, wie Sie Ihre eigenen Kunden entsprechend der DSGVO informieren müssen, noch wie Ihre Verarbeitungsverzeichnisse auszusehen haben oder welche Log-Dateien Sie selbst wie lange speichern dürfen und Ähnliches. Was wir Ihnen optional anbieten können ist rein technisches Consulting zur Evaluierung und Verbesserung der Sicherheit.
Wenn ich IPAX Produkte nur zur Speicherung von Daten von Firmen benutze, muss ich dann trotzdem einen Auftragsverarbeitungsvertrag abschließen? #
Der Wortlaut der DSGVO spricht nur von Daten natürlicher Personen. Jedoch enthält das Österreichische Datenschutzgesetz – welches an die DSGVO angepasst wurde und weiterhin gilt – eine Bestimmung, wonach juristische Personen sowie Personengemeinschaften genauso wie natürliche Personen als Betroffene gelten. Des Weiteren gilt es zu beachten, dass auch bei Firmen natürliche Personen arbeiten und es daher meist sowieso zur Verabeitung personenbezogener Daten kommt.
Bietet IPAX technisches Consulting zu Sicherheitsmaßnahmen an? #
JA, optional können Sie Dienstleistungen zu technischen Maßnahmen, Verbesserung von Sicherheitseinstellungen, etc. von uns buchen. Wir geben aber niemals Auskunft, was die Angemessenheit der Maßnahmen für den Schutz der Daten der betroffenen Personen betrifft. Diese Evaluierung obliegt einzig Ihnen als Verantwortlichen für die Datenverarbeitung.
Ich möchte eine individuelle, von Ihrem Standard-Vertrag abweichende Vereinbarung zur Auftragsdatenverarbeitung abschließen. #
IPAX betreut viele tausend Kunden. Aus diesem Grund ist es uns organisatorisch nicht möglich mit jedem Kunden eine individuelle Vereinbarung abzuschließen. Sollten Sie dennoch auf einer individuellen Vereinbarung bestehen, müssen wir für deren Prüfung und Evidenzhaltung ein Entgelt verlangen. Details finden sie in der Anlage 3 – Kostensätze unter https://www.ipax.at/agb/kostensaetze.
Ich möchte mein Kundenkonto gemäß DSGVO löschen. #
IPAX unterliegt einer Aufbewahrungspflicht von 7 Jahren. Nach Ablauf dieser Frist werden Ihre Daten gemäß unseren Löschroutinen gelöscht.