Verantwortlicher ist immer der Hosting-Kunde, im allgemeinen der Rechnungsempfänger.

ITEG ist beim Hosting immer Auftragsverarbeiter und nur Auftragsverarbeiter.

Wenn im Rahmen der bei ITEG für Sie gehosteten Dienste keinerlei Personenbezogene Daten verarbeitet werden ist gar nichts zu tun.

Andernfalls muss eine Auftragsverarbeitungs-Vereinbarung getroffen werden. Muster sowie Ausfüllhilfen finden Sie hier: Vereinbarung über ITEG-Hosting als Auftragsverarbeitung nach Art. 28 DSGVO.

Falls keine Vereinbarung getroffen wird greift trotzdem z.B. § 12 unserer AGBs in dem sich ITEG zur Geheimhaltung verpflichtet. Es sei auch auf den Code-of-Conduct des österreichischen Provider-Verbands ISPA hingewiesen der sich auf dessen Seite über Datenschutz findet aber leider kaum auf reine Hosting-Anbieter eingeht.

Etwaige Anfragen von Betroffenen (Auskunft, Löschung, Einschränkung, …) an uns werden immer an den Verantwortlichen weitergeleitet wobei gleichzeitig der Betroffenen darüber und über den Verwantwortlichen informiert wird.

In Logfiles von Web-Servern und E-Mail-Servern werden IP-Adressen gespeichert, um Nachforschungen bei technischen Probleme sowie Spam-Wellen und Angriffen (z.B. Wörterbuchattacken) zu ermöglichen. Web-Server-Logs werden üblicherweise 6 Monate, E-Mail-Server-Logs 12 Monate aufbewahrt.

Die Zuordnung einer IP-Adresse in Web-Server-Logs zu einer natürlichen Person ist ohne zusätzliche technische und juristische Massnahmen nicht möglich, daher gibt es verschiedene Ansichten darüber ob eine IP-Adresse als personenbezogenes Datum anzusehen ist, aber in „Erwägung 30“ werden IP-Adressen als persönliche Daten genannt, sie sind also im Zweifel als personenbezogene Kommunikationsdaten anzusehen.

ITEG war von 18.12.2018 bis 18.12.2022 nach ISO 27001 zertifiziert.

Während diese große Zertifizierung aus Kostengründen fallen gelassen wurde gelten die Informationssicherheits-Richtlinien (IS-Policy) weiterhin, ebenfalls aufrecht erhalten werden die Technischen und Organisatorischen Maßnahmen (TOMs).

Beim für Hosting eingesetzten Betriebssystem, Debian Linux, wird jede Generation nur für ca. 2-5 Jahre mit Updates versorgt. Gehostete Kundendienste (Webanwendungen, …) müssen daher regelmäßig auf neuere virtuelle Server migriert werden um weiterhin sicher genug zu sein.

Für die Verarbeitung von Personenbezogenen Daten auf nicht mehr mit Sicherheits-Updates versorgten Betriebssystemen übernimmt ITEG keinerlei Verwantwortung.

Bei allen häufig eingesetzten Frameworks (WordPress, Typo3, ColdFusion/Lucee u.v.a.) werden regelmäßig Sicherheitslücken bekannt. Auch individuell programmierte Web-Anwendungen enthalten häufig einfach auszunützende Sicherheitslücken.

Für die Verarbeitung von Personenbezogenen Daten mithilfe nicht aktuell gehaltener Frameworks o.ä. übernimmt ITEG keinerlei Verwantwortung.

Wir empfehlen diesbezüglich grundsätzlich einen Wartungsvertrag mit Ihrem Webentwicklungs-Büro abzuschliessen und alle 2 bis 4 Jahre auf eine neuere Umgebung zu migrieren.

Durch die weitgehende Umstellung auf Dockerisierte Umgebungen betrifft diese Problematik aber meistens nur mehr ITEG selbst.

Nur die Hosting-Administratoren von ITEG haben Zugriff auf die gehosteten Daten in ihrer rohen Form, d.h. auf Dateien und Datenbanken (aber normalerweise nicht auf z.B. Web-UIs zum einfachen Zugriff auf etwaige gespeicherte Personendaten).

ITEG-Administratoren müssen sich zum Zugriff auf Hosting-Server mit PIN-geschützten RSA-Keys auf Hardware-Tokens (yubikey) authentifizieren.

Der bei ITEG liegende Spiegel der Backups sowie die externen Generationen-Sicherungs-Medien sind LUKS-verschlüsselt (AES mit 512 bit), die zugehörigen Passwörter liegen in einer GPG-verschlüsselten Datei die wiederum nur über die Hardware-Tokens lesbar gemacht werden können und nie im Klartext auf einem Speichermedium landen.

ITEG bzw. ITEG-Administratoren sind selbstverständlich zur Geheimhaltung verpflichtet, siehe dazu § 12 unserer AGBs.

Wir verarbeiten Kunden-Stammdaten nur soweit es zur Angebots-Legung, Verrechnung, und zur etwaigen Kontaktaufnahme notwendig ist.