Die Daten an sich liegen wohl schon in Köln - allerdings wird admin.df.eu mit Hilfe von Sucuri "abgesichert" (das hier: https://www.df.eu/de/sucuri-website-malware-scanner/ ) Sucuri ist eine US-Firma, und dafür wird der Datenverkehr mit admin.df.eu über Sucuri geroutet. Wo deren Server stehen ist die Frage, das können die USA sein, muss aber nicht zwangsläufig (in der Produktbeschreibung steht ja auch was von CDN und üblicherweise sind die Server für sowas über die ganze Welt gestreut). Ob df da eine Begrenzung auf nur Deutsche Server drin hat (ob das überhaupt möglich ist) st die Frage.

Diese Geotools testen die IP-Adresse auf die die Domain/Sub-Domain zeigt und die gehört nunmal zu einer US-Firma, daher die Anzeige - diese IP kann aber durchaus auf einen in Deutschland stehenden Server zeigen (diese Art Geolocation ist zudem auch relativ unzuverlässig - früher konnte man Ip-Blöcke relativ gut geograpischen Regionen zuordnen, da die IPv4-Adressen mittlerweile aus sind gibt es da einen regen Handel und auch kleinere Adressbereiche wechseln oft den Besitzer. Bis die entssprechenden Datenbanken, welche IP wo geographisch beheimatet ist aktualisiert werden kann dauern, so dass dort eine falsche Anzeige absolut möglich ist).

Hallo RubiRed,

sofern der Serverstandort Deutschland von Ihnen gewünscht bzw. gewählt wird, wird dafür eine entsprechende Gebühr berechnet, die sich zwischen SharedHosting und ManagedServer unterscheidet. Sämtliche Core-Systeme, wie auch das Kundenmenü (admin.df.eu) oder auch unsere Mailsysteme befinden sich ebenfalls im Serverstandort Deutschland. Für das Kundenmenü selbst, sind weitere Sicherheitsmaßnahmen getroffen worden, auf die wir aus Sicherheitsgründen bedauerlicherweise nicht im Detail eingehen können und bitten daher um Verständnis.

Des Weiteren können Sie die Subunternehmerliste einsehen und haben ebenfalls die Möglichkeit einen Vertrag zur Auftragsdatenverarbeitung mit uns abzuschließen. Ebenfalls stehen die technischen und organisatorischen Maßnahmen zu Verfügung.

mhagge Marcel Kaufmann

Vielen Dank für die Infos.

mhagge
Das Geotool ist schon recht gut. Natürlich nicht absolut genau auf den Punkt. Die Landesangabe reicht mir ja schon zur Kontrolle.

Marcel Kaufmann Die Liste der Subunternehmer kenne ich. Wenn was geändert wird, kommt ja eine Nachricht. Leider fehlt in dieser Liste aber, wo die Subunternehmer ihren Sitz haben und wo die Daten verarbeitet werden!? Dies führt natürlich zu Fragen. Warum fehlen diese Informationen?

Gibt es keine Sicherheitsfirma in der EU oder in Deutschland, über die admin.df.eu "abgesichert" werden kann?
Ich muss jetzt also davon ausgehen, das zwar die Daten in Köln liegen, aber die Daten über Sucuri in den USA laufen und "abgegriffen" werden können, oder wie soll man sich das vorstellen.

Hallo Herr Kaufmann,

das wirft jetzt aber Datenschutzfragen auf und ich habe kein Verständnis dafür, dass sie diese nicht beantworten wollen. Konkret: das Kundenmenü wird durch sucuri und / oder cloudflare abgesichert. Soweit ok. Wenn ich nun ein Passwort im Kundenmenü ändere, wird dieses mein Passwort dann über Server in den USA geleitet und erst danach auf dem Server in Köln eingetragen? Es ist keine Sicherheitsfrage, sondern eine Datenschutzfrage, was genau an Ihren externen Dienstleister weitergeleitet wird.
Können Sie da ausschließen, dass personenbezogene Daten wie Passwort, E-Mail Adresse, Name, Anschrift, Bankverbindung irgendwie auf den Servern Ihrer Dienstleister in den USA landen?

Nachtrag: die Daten sollten dort auch nicht verschlüsselt landen, denn die Quantencomputer kommen ...

Es grüßt freundlich
Ihr Benutzername

Hallo zusammen,

die von Ihnen angesprochenen Aspekte werden durchgängig in unserer Datenschutzerklärung abgehandelt. Mit der Absicherung sowohl unserer Dienste als auch der Daten unserer Kunden haben wir namhafte Dienstleister beauftragt. Dass hierbei Daten über die USA geroutet werden, ist aus technischen Gründen unvermeidbar. Der gesamte Ablauf ist datenschutzrechtlich geprüft und mit entsprechenden Vereinbarungen abgesichert. Ein Zusammenhang zwischen kundenseitig gewähltem Serverstandort und dem Ort, an dem wir kundenspezifische Daten abspeichern, besteht nicht. Bei Sucuri handelt es sich ebenfalls um ein Godaddy-Unternehmen.

Werden denn auch die Daten aus dem RP2 über die USA geroutet?

Grüße
fp

Hallo Herr Kaufmann,

danke für den Hinweis auf die Datenschutzerklärung. Ich habe mir diese nun erneut durchgelesen und auch die verlinkten Dokumente zu cloudflare und sucuri gelesen. Letztere allerdings nicht verstanden, ist leider alles auf englisch, was neben dem juristischen Bereich eine weitere Hürde für mein Verständnis darstellt.

Da weder Sie noch ich Jurist sein dürften, können wir beide nicht beurteilen, in wie weit die Erklärungen nun juristisch korrekt sind. Das ist aber auch gar nicht mein Thema.
Mir geht es auch nicht darum, zu beurteilen, ob das erlaubt ist oder nicht. Es wird sicher juristisch alles möglich sein und ich habe auch kein Problem damit, dass domainFactory solche Services einsetzt.

Ich persönlich möchte jedoch nicht, dass personenbezogene Daten von mir in den USA landen, wenn ich das Kundenmenü meines webHosters nutze. Daher habe ich die simple Frage:
erhalten Cloudflare und / oder Sucuri mein Passwort oder andere personenbezogene Daten, wenn ich mich bei domainFactory im Kundenmenü anmelde oder ein Passwort z.B. für E-Mail Adressen ändere.

Also helfen Sie mir doch bitte an der Stelle weiter, da ich das wirklich nicht aus den Dokumenten rauslesen kann und mir der technischen Hintergrund fehlt, um zu beurteilen, wann was wie an wen geht. Die verschiedenen Datenschutzerkkärungen sorgen eher für mehr Fragen, z.B. wirft der von dF verlinkte Beitrag https://blog.cloudflare.com/what-cloudflare-logs/ die Frage auf, ob domainFactory oder goDaddy Enterprise Customer im Sinne des Artikels sind und somit einen Raw Export bekommen oder was denn in den "crunched" Data steht.

Sie lesen mich verwirrt und ich hoffe, sie können mir an der Stelle weiterhelfen. Falls nicht, nennen Sie mir gerne einen Ansprechpartner, der diesen Themenbereich bei Ihnen bis in diese Details überblicken kann (Datenschutzbeauftragte*r? Meist aber leider nicht technisch versiert.)

Ich meine, irgendwo einmal gelesen zu haben, dass das RP2 nicht mit Cloudflare & Co. abgesichert wird. Das war ziemlich am Anfang, als Cloudflare eingeführt wurde. Aber ich habe da leider keine Quelle notiert.

Wir können versichern, dass Sie das sind, auch wenn das nicht das Thema ist!

Sie können im Internet sozusagen nie ausschließen über welches Land die Daten laufen. Natürlich laufen da dann auch Passwörter oder andere personenbezogene Daten drüber.

Mit freundlichen Grüßen

Nils Dornblut

Aktuell ist dem nicht so, das ist richtig.

Mit freundlichen Grüßen

Nils Dornblut

Das ist natürlich richtig, den Weg der Pakete kann niemand bestimmen. Doch ist Cloudflare / Sucuri im Grunde ein Man-in-the-middle und erhält somit nicht nur einzelne Pakete sondern gezielt sämliche Daten, oder? Ich möchte es wirklich nur verstehen.
Aktuell ist mein Stand, dass sämtlicher Datenverkehr mit dem Kundenmenü - alles verschlüsselt vom "Kundenmenü -Server" bzw. meinem Browser, außer meiner IP Adresse, die im Klartext - zunächst durch Cloudflare und Sucuri geleitet wird und diese dann entsprechend weiterleiten ans Kundenmenü, wenn ich aus Sicht dieser beiden Unternehmen ein "guter" bin. Und je nachdem, was domainFactory (via GoDaddy) nun dort "gebucht" hat, werden Daten gespeichert, aufbereitet (crunch) oder als Raw Daten vereitgestellt. Ist das so richtig verstanden?

Noch ein Nachtrag. Damit Cloudflare etc. sinnvoll funktionieren können, brauchen die doch vermutlich mehr als nur die IP-Adresse. Ich versuche da gerade, ein wenig zu recherchieren und stoße auf Artikel, die erklären, dass die Verschlüsselung zwischen Client (=Browser) und Cloudlflare und dann zwischen Cloudflare und Server (=Kundenmenü) stattfindet. D.h. im Grunde besteht kein direkter "Kontakt", keine Ende-zu-Ende Verschlüsselung zwischen Client und Server. Ist das so?

Hallo,

ist genau das was ich auch meine. Ist klar, dass die normalen Browser-Verbindungen tagtäglich über ausländische Server laufen können oder auch nicht. Das ist nicht das Thema.

Das Problem ist, das domainFactory gezielt Daten über die USA laufen lässt und wir als Nutzer nicht sehen, welche Daten dort abgegriffen werden.
Es ist auch nicht irgendeine Verbindung, sondern eine mit einem Subunternehmer von domainFactory. (Ob die zu Godaddy gehört ist mir dabei völlig egal.)
Sucuri hat sicherlich Berechtigungen von domainFactory erhalten, um Daten verarbeiten zu dürfen.
DomainFactory schreibt selbst in der Subunternehmerliste zu Sucuri: Zweck: „Sichern der Kundenwebseiten vor Schadsoftware“, Verarbeitete Daten: „Alle Kontoinformationen, die für die Bereitstellung der Webseite benötigt werden, sowie Kundendaten, die auf der gehosteten Webseite gespeichert sind. „

Heist für mich „Kontoinformationen“ und „Kundendaten“ werden in den USA mitgelesen und nicht nur einfache IP Adressen oder sonstiges!?

Ich begrüße es ausdrücklich, wenn domainFactory um Sicherheit bemüht ist, im Angesicht der letzten „Probleme“. Da steht domainFactory natürlich unter Druck.

Das Ganze hat jetzt aber einen ganz bitteren Beigeschmack, wenn ich das mal vorsichtig so ausdrücken darf. Auch bei einem Vertag für die „Auftragsdatenverarbeitung“ lege ich Wert darauf, dass nicht nur formaljuristisch irgendwas geschrieben wird, sondern das domainFactory jede Art von unnötiger Datenverarbeitung und Weitergabe unterlässt. Egal wie viele Subunternehmer domainFactory überhaupt noch braucht! Je mehr Subunternehmer, je unseriöser erscheint alles. (Wie in der Baubranche oder bei DHL) Wenn man dann noch sieht, das Daten über die USA fliegen…?

Ist es tatsächlich nicht möglich die Daten auf dem Server in Deutschland zu schützen? Müssen diese über Fremdfirmen im Ausland laufen? Sind die Zeiten von lokaler Sicherheitssoftware vorbei?

Ich möchte nicht das mir die Geheimnisse der Absicherung verraten werden. Ich möchte nur verstehen, so wie „Benutzername“ warum und wie.

Ich zitiere nochmal: https://www.df.eu/de/datenschutzrichtlinie/ : "Wo werden meine persönlichen Daten bei DomainFactory gespeichert?
Alle persönlichen Kundendaten, die Sie bei der Bestellung hinterlegen (Name, Anschrift, usw.), werden in Deutschland, auf einem Datenbankserver in unserem Rechenzentrum in Köln, verwaltet."

Das muss noch ergänzt werden mit "laufen vorher aber über SUCURI in den USA" !