Wer eine Internetseite betreibt, muss sich auch mit dem Datenschutz beschäftigen. Spätestens beim Erheben oder Verarbeiten von Daten der Besucher, müssen die datenschutzrechtlichen Vorgaben eingehalten werden. Dazu gehört neben einer Datenschutzerklärung gem. § 13 TMG auch die schriftliche Vereinbarung zur Verarbeitung im Auftrag (sog. Auftragsdatenverarbeitung oder auch ADV gem. § 11 BDSG). Welche Möglichkeiten dazu bei deutschlands Webhostern bestehen, um gesetzeskonform zu sein, zeigt unsere Übersicht.

(CK) Fast alle Betreiber von Internetseiten erheben, verarbeiten oder nutzen personenbezogene Daten ihrer Besucher. Das beginnt bei der Web-Analyse mittels IP-Adressen, wobei man sich hier noch streiten kann, ob überhaupt personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) vorliegen. Geht weiter über Daten die man in Kontaktformularen eintragen kann und die auf dem Server des Webhosters gespeichert werden und endet meist bei Online-Shops und anderen Web-Applikationen, wo nicht nur Mailadressen und Namen, sondern häufig auch Kontakt- und Adress- oder sogar Zahlungsdaten gespeichert werden. Das es sich hierbei um personenbezogene Daten handelt (siehe §3 Abs. 1 BDSG) wird wohl niemand abstreiten. Oder doch?

Datenschutz und Webhoster

Einige Webhoster verneinen wehement die Aussage, sie würden eine Verarbeitung personenbezogener Daten (sog. Auftragsdatenverarbeitung oder ADV) im Namen ihrer Auftraggeber durchführen. Dabei liegt das Hauptrisiko auch garnicht bei den Webhostern, sondern bei den Betreibern der Internetseiten. Denn diese müssen sich die Frage stellen, mit welcher Rechtsgrundlage sie überhaupt personenbezogene Daten auf den Servern anderer Unternehmen erheben oder speichern dürfen. Mangels Einwilligung kann hier zumindest für deutsche Firmen regelmäßig nur eine Auftragsdatenverarbeitung (ADV) nach §11 BDSG herangezogen werden. Datenschutzfachleute sind sich hierüber auch einig. Durch diese ADV wird der Webhoster (vorher als Dritter bezeichnet) nämlich in den Verantwortungsbereich des Betreibers „integriert“ und muss sich nun an die Weisungen des Auftraggebers zum Datenschutz halten.

Der Praxisfall

In der Praxis ist das Weisungsrecht bei einem großen Dienstleister natürlich etwas problematischer umzusetzen, doch stellt der Gesetzgeber hier einige Anforderungen auf, die erfüllt werden müssen, um eben diesen §11 BDSG nutzen zu können. Alternativ wäre eine Datenverarbeitung beim Webhoster nur mit Einwilligung der betroffenen Besucher/Kunden möglich und die Verantwortung für Datenpannen etc. ginge mit der Datenübermittlung zunächst auf den Webhoster über.

Absicherung des Betreibers

Um sich rechtlich abzusichern hat der Betreiber somit defakto kaum eine andere Möglichkeit, als eine Vereinbarung zur Auftragsdatenverarbeitung mit dem Webhoster abzuschließen, in der die gesetzlichen Anforderungen berücksichtigt werden und für welche eine, wie auch immer geartete, Prüfung regelmäßig dokumentiert wird. Die Webhoster haben aber erfahrungsgemäß nur selten „Lust“ auf eine solche Vereinbarung – alleine schon wegen des Aufwands – und agumentieren damit, dass sie gar keine Verarbeitung im Auftrag durchführen würden. Doch was machen sie sonst, wenn sie dem Kunden Datenbanken, Online-Shops und Webspace zur Verfügung stellen und auf diesen im Zweifelsfall auch Zugreifen können?

Ausweg für die Betreiber

Da es für viele Betreiber von Internetauftritten schon aufwändig genug ist, den passenden Webhoster anhand von zahlreichen Kriterien und Preisen zu ermitteln, macht es das Thema Auftragsdatenverarbeitung nicht einfacher. In unserer Liste mit 9 Schritten zu datenschutzkonformem Webhosting haben wir die notwendigen Punkte aufgelistet, bei denen natürlich auch der Standort der Server und die IT-Sicherheit eine Rolle spielen.

Musterlösungen

Da das Problem der ADV zumindest den größeren Hostinganbietern bekannt ist, haben diese im Rahmen ihrer Compliance-Aktivitäten meist einen Standard- oder Mustervertrag zur Auftragsdatenverarbeitung ausgearbeitet, welchen sie den Kunden anbieten können. Damit kann zumindest der rechtlich notwendige Teil einfach abgearbeitet werden. Bleibt noch die Prüfung und Dokumentation übrig.

Prüfung und Dokumentation

Häufig lassen sich Betreiber von Rechenzentren und Webhoster von externen, unabhängigen Stellen prüfen und können diese Zertifikate oder Testate zur Verfügung stellen, was für den Betreiber ebenfalls als Prüfung ausreichen kann, sofern der Prüfungsinhalt passt. Bekannte Normen sind hier häufig ISO 27001 oder BSI Grundschutz sowie diverse Datenschutz-Zertifikate von verschiedenen Anbietern. Die Dokumentation ist dann dem Betreiber selbst überlassen. Aber auch hier gibt es Hilfe in Form von Vorlagen, Checklisten und Software-Tools.

Alle Webhosting-Anbieter in unserer aktuellen Übersicht

Hier finden Sie unsere aktuelle Übersicht der Webhosting-Anbieter samt Serverstandorte und deren Umgang mit der Auftragsdatenverarbeitung.

Haben Sie Fragen oder Beratungsbedarf?

Sollten Sie Fragen zum richtigen Umgang mit der Verarbeitung personenbezogener Daten im Auftrag (Auftragsdatenverarbeitung / ADV), der Vertragsgestaltung, Musterverträgen oder auch zur Prüfung der technischen und organisatorischen Maßnahmen haben, melden Sie sich gerne bei uns. Unsere Berater stehen gerne mit Ihrem Wissen in den Bereichen IT- und Vertragsrecht, Datenschutz und Technik zur Verfügung.
Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns unter 05221 / 854 96 – 90 an.

Wir freuen uns auf Sie.