Hinweise zur EU-Datenschutzverordnung

Am 25.05.2018 trat in den EU-Staaten die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Hierzu erreichen uns viele Anfragen von Schulen, die unser Webhosting nutzen.

Wir können hierzu keine fundierten juristischen Auskünfte geben, aber zumindest einige BelWü-spezifischen Hinweise, die bei der Umsetzung der Verordnung helfen können.

Wie kann ein Webauftritt auf dem BelWü-Server auf HTTPS umgestellt werden?

Wenn personenbezogene Daten auf den Webserver übertragen werden (z. B. durch Kontakt- oder Anmeldeformulare), so muss dies verschlüsselt geschehen und der Webauftritt muss so umgestellt werden, dass die Zugriffe über HTTPS erfolgen.

Hierzu benötigt der Auftritt zunächst ein offizielles SSL-Zertifikat. Ein solches können wir für Webauftritte auf den BelWü-Webservern im Rahmen von Forschung und Lehre über den DFN-Verein ("Deutsches Forschungsnetz")  kostenlos erhalten.

Hinweis: Technische Informationen zu diesen Themen finden Sie im Artikel "HTTPS- und TLS-/SSL-Zertifikate".

Wenn Ihr Webauftritt einen Namen verwendet,

  • der auf "schule-bw.de" oder "bw.schule.de" endet
  • der innerhalb einer eigenen Domain liegt, die über das BelWü registriert ist
  • der Auftritt nur unter einem oder mehreren solcher Namen aufgerufen wird

genügt eine formlose Mail an webmaster (at) belwue.de, in der Sie uns die Namen nennen. Wir beantragen dann das Zertifikat und installieren es in Ihrem Auftritt.

Haben Sie beispielsweise die Domain "beispielschule-musterhausen.de" über das BelWü angemeldet, so genügt für Namen wie "www.beispielschule-musterhausen.de", "diler.beispielschule-musterhausen.de" oder "moodle.beispielschule-musterhausen.de" oder auch nur "beispielschule-musterhausen.de" die formlose Mail.

Wenn Sie eine bei einem anderen Provider registrierte Domain für Ihren Webauftritt nutzen (im Beispiel nennen wir sie "externe-schuldomain.de"), so sollten Sie sicherstellen, dass eine der folgenden E-Mail-Adressen existiert und Mails an diese Adresse auch von jemandem gelesen werden:

  • administrator@externe-schuldomain.de oder
  • admin@externe-schuldomain.de oder
  • webmaster@externe-schuldomain.de oder
  • postmaster@externe-schuldomain.de oder
  • hostmaster@externe-schuldomain.de

Wenn die Existenz einer dieser Mailadressen sichergestellt ist, so senden Sie uns eine formlose E-Mail an webmaster (at) belwue.de mit den Namen, auf die das Zertifikat passen soll ("www.externe-schuldomain.de", "moodle.externe-schuldomain.de", ...) sowie der Angabe, welche der obigen E-Mail-Adressen gültig ist. Dorthin wird eine Bestätigungsaufforderung von der Zertifizierungsstelle des DFN geschickt werden, der Sie nachkommen sollten.

Da dieses Verfahren noch ganz neu ist, können wir hier noch nicht angeben, wie diese Bestätigungsaufforderung genau aussehen wird und von welchem genauen Absender sie kommen wird. Wir werden diese Informationen hier ergänzen, sobald sie uns vorliegen.

Wenn das Zertifikat installiert ist und Sie erzwingen möchten, dass der Webauftritt nur noch über HTTPS aufgerufen werden kann, ergänzen Sie die .htaccess-Datei mit folgendem Inhalt:

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Bei vielen CMS lässt sich der HTTPS-Aufruf schon durch Setzen entsprechender Variablen (z. B. $site_url o. ä.) dazu veranlassen, dann ist das Ablegen der .htaccess-Datei nicht nötig. Bei Moodle-Auftritten wird der HTTPS-Aufruf über einen entsprechenden Wert der Variable $CFG->wwwroot erzwungen.

Weitere Erklärungen zu Weiterleitungen siehe "Eigene Einstellungen über eine .htaccess-Datei".

Angaben für die Datenschutzerklärung

In Ihrem Webauftritt müssen Sie eine Datenschutzerklärung ablegen und auf jeder Seite verlinken, in der Sie unter anderem erklären, welche Daten in welchem Umfang erfasst und wie lange diese aufgehoben werden. Was die von Ihnen in dem Webauftritt installierten Systeme erfassen und verarbeiten, wissen Sie selbst am besten. Wir geben Ihnen hierzu noch die Informationen, welche Daten von uns auf dem Webserver geloggt werden:

Das BelWü als Betreiber des Webservers erfasst folgende Daten:

  • Datum und Uhrzeit des Zugriffs
  • Vollständige IP-Adresse des zugreifenden Geräts
  • abgerufene Datei oder Funktion mit Abrufmethode (GET oder POST)
  • verwendetes Protokoll
  • Ergebnis des Abrufs (HTTP Status)
  • Zahl der übertragenen Bytes
  • sofern zutreffend: im Error-Logfile noch zusätzlich den aufgetretenen Fehler

Diese Informationen werden 14 Tage lang aufbewahrt und nur zu Fehlersuche, Abwehr von Angriffen und sonstigen Maßnahmen zur Sicherstellung und Optimierung des Betriebs sowie für anonymisierte Webstatistiken verwendet und nicht weitergegeben. Eine Herausgabe der Logeinträge an staatliche Stellen und Behörden ist möglich, sofern gesetzliche Vorschriften etwa zur Strafverfolgung oder Gefahrenabwehr dies vorgeben.

Der Schule werden zur Optimierung und Fehlersuche nur anonymisierte Logfiles zur Verfügung gestellt, in denen die IP-Adresse im letzten Byte auf 0 gesetzt wurde, ansonsten umfasst es dieselben Daten wie die Logfiles, die nur das BelWü als Betreiber sieht. Diese anonymisierten Logfiles werden 4 Tage lang auf dem Webserver aufbewahrt.

Weitere Hinweise

Ausführliche, nicht BelWü-spezifische, aber dafür rechtlich abgesicherte Angaben zum Datenschutz an Schulen sowie die neue Datenschutzverordnung finden Sie auf den Seiten des Kultusministeriums:

it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Datenschutz+an+Schulen 

und dort insbesondere im Abschnitt "Hinweise zu Angaben im Internetauftritt von Schulen" . Die darin enthaltene Muster-Datenschutzerklärung mit von uns vorgenommenen Anpassungen der Angaben zum Logging an die Einstellungen des BelWü-Servers im Abschnitt 4.1. können Sie sich hier ansehen.