Die DSGVO (Datenschutzgrundverordnung) trifft uns irgendwie und irgendwo alle. Für gewerbliche Institutionen ist es besonders schwer noch den Überblick zu behalten und alles im Sinne der DSGVO richtig zu machen. Wenn man mit einem aufmerksamen Blick auf den Willen der europäischen Datenschützer durchs Netz surft, dann muss man sich wundern wie viele institutionelle Seitenbetreiber ganz offensichtlich und schon für einen Laien leicht erkennbar die Regeln missachten. Da gibt es Firmenseiten auf denen tatsächlich noch immer keine Datenschutzerklärung zu finden ist, Kontaktformulare mit unverschlüsselter Datenübertragung, fehlende Cookie-Hinweise und einiges mehr.
Das sind ja noch ganz offensichtliche Dinge, über die inzwischen, so sollte man zumindest annehmen, jeder Firmeninhaber mit Firmenhomepage bescheid wissen sollte. Heute will ich aber auch einen Umstand aufmerksam machen, den mit Sicherheit die wenigsten Unternehmen – zumindest die, die keinen Datenschutzbeauftragten beschäftigen – wirklich auf dem Schirm haben.
Auftragsdatenverarbeitung mit Webhoster?
Zuerst einmal eine Erläuterung der beiden Begrifflichkeiten Auftragsdatenverarbeitung und Webhoster.
Auftragsdatenverarbeitung
Wenn eine Firma einen Dritten, also zum Beispiel einen externen Dienstleister, mit einer Aufgabe betraut, bei der Daten von eigenen Kunden verarbeitet werden, dann muss er dafür Sorge tragen, dass dieser Dritte beim Umgang mit diesen Daten die DSGVO beachtet. Das also beispielsweise sichergestellt ist, dass diese Daten nicht weiteren Firmen zugänglich gemacht werden. Egal ob absichtlich oder versehentlich oder, dass diese Daten vom Dienstleister selbst nicht zu irgendwelchen anderen Zwecken genutzt werden. Um dies rechtlich auf sichere Füße zu stellen und die Haftung, beispielsweise auch für das Abhandenkommen von Kundendaten, nicht selbst tragen zu müssen, wird zwischen dem Auftraggeber und dem Dritten ein Vertrag geschlossen, ein Vertrag über die Auftragsdatenverarbeitung.
Webhoster
Bei einer Website handelt es sich um eine Ansammlung von Programmcode, der von Browsern gelesen und so interpretiert werden kann, dass eine optische und grafische Umsetzung auf dem Bildschirm des Website-Besuchers dargestellt wird. Dieser Probrammcode muss irgendwo abgespeichert werden, wo er für alle Internetnutzer jederzeit erreichbar ist. Dazu bedient man sich Firmen, die leistungsstarke Computer zur Verfügung stellen, die permanent über das Internet erreichbar sein müssen. Bestenfalls sollten diese Computer gegen Angriffe (Hacker) geschützt sein. Auch ein Schutz gegen Feuer und Einbruch ist sinnvoll. Und natürlich muss jemand diese Computer permanent warten, damit sie auch ohne Unterbrechung laufen und online sein können. Eine regelmäßige Datensicherung, falls so ein Computer dann doch einmal den Geist aufgibt, wäre natürlich auch sinnvoll.
Da Sie dies mit einem eigenen Rechner kaum leisten können, mieten Sie sich in der Regel einen Platz auf einem Rechner eines so genannten Internet-Providers oder Webhosters oder gleich einen ganzen Rechner.
Auftragsdatenverarbeitung und Webhosting
Wenn Sie als Firmeninhaber oder Vereinsvorstand nicht nur eine Website haben, sondern auch Ihre E-Mails über den Webhoster verwalten – was durchaus Sinn macht wenn Sie ihre eigene Internetadresse auch als E-Mail-Adresse nutzen wollen – dann werden die E-Mail-Adressen Ihrer Kunden und Interessenten natürlich auch beim Webhoster gespeichert werden müssen. Auch wenn Sie statistische Daten über die Nutzung Ihrer Website speichern (die enthalten i. d. R. zumindest die IP-Adressen der Nutzer), ist Ihr Internetprovider mit im Spiel.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meint dazu, dass Serviceleistungen eines Website-Hosters, „wie das Entgegennehmen und Archivieren von E-Mails der Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website im Auftrag, das Tracking des Verhaltens der Website-Nutzer im Auftrag usw.„ einen Umgang mit personenbezogenen Daten des Unternehmens als Auftraggeber darstellen und „sind als Datenverarbeitung im Auftrag nach § 11 BDSG einzuordnen. Diese Dienstleistung bedarf einer Vertragsregelung nach § 11 Abs. 2 Satz 2 BDSG.“
Das BayLDA ergänzt: „Wenn ein Service-Provider zu einer solchen Vertragsregelung nicht bereit ist, kann er im geschäftlichen Bereich nicht datenschutzkonform eingesetzt werden.“
Was bedeutet das für Sie als Verantwortlicher für eine Institution?
Ganz einfach: Sicherheitshalber sollten Sie als gewerbetreibender, Verein oder sonstige Institution IMMER einen Vertrag über die Datenverarbeitung abschließen wenn Sie mit einem Provider bzw. Webhoster arbeiten und Ihre institutionelle Website dort verwaltet wird. Am besten Sie schauen sich bei Ihrem Anbieter im Verwaltungsbereich um, denn die meisten Hoster bieten inzwischen die Möglichkeit an, diesen Vertrag online abzuschließen oder zumindest eine Downloadmöglichkeit für eine Vertragsvorlage.
Bitte nehmen Sie das Thema nicht auf die leichte Schulter! Ein Verstoß gegen Ihre Pflichten kann mit einer Strafe bis zu 50.000 Euro geahndet werden. Siehe auch § 43 Abs. 1 Nr. 2b i. V. m. Abs. 3 BDSG.
Wenn Sie unsicher sind, ob ein solcher Vertrag für Sie notwendig ist, fragen Sie uns danach. Nehmen Sie mit uns Kontakt auf unter 0176 630 59 310 oder per Mail an mail@jaweco.net.
Übrigens
Es gibt auch eine gute Nachricht. Das BayLDA stellt in seinem Urteil auch klar, dass im privaten Bereich das BDSG gemäß § 1 Abs. 2 Nr. 3 BDSG nicht gilt. Dies bedeutet also, dass Privatpersonen keinen Vertrages über Auftragsdatenverarbeitung mit ihrem Internet-Provider abschließen müssen.
