Zum Hintergrund der Pressemitteilung
Beim Betrieb von Websites und Online-Shops werden häufig externe Dienstleister für das Hosting der Website in Anspruch genommen. Damit werden mindestens die IP-Adressen der Websitebesuchenden durch die Hosting Anbietenden verarbeitet. Eine ungekürzte IP-Adresse stellt, dem EuGH folgend (Az.: C‑582/14, Rn. 49), ein persönliches Datum dar, denn theoretisch ist es möglich, die mit einer IP-Adresse verbundene Person zu identifizieren. Die Verarbeitung personenbezogener Daten von Besuchern der Website erfolgt somit im Auftrag des Website-Betreibers. Durch die Beteiligung mehrere Parteien, ist eine klare Zuweisung der Zuständigkeiten erforderlich, damit die Strukturen der Verantwortlichkeiten für die betroffenen Personen erkennbar und nachvollziehbar sind. Dies erfolgt im Falle einer Auftragsverarbeitung durch den Abschluss eines AVV gem. Art. 28 Abs. 3 DS-GVO.
Gleichwohl die Mindestanforderungen an einen AVV gesetzlich normiert sind, erhalten Datenschutzaufsichtsbehörden regelmäßig Anfragen von Verantwortlichen, die feststellen, dass die von Webhostern angebotenen AVV nicht den Anforderungen der DS-GVO entsprechen.
In der Pressemitteilung wird darauf hingewiesen, dass es in vielen AVV an ausreichenden Nachweisen fehlt, dass der Webhoster die vereinbarten Datenschutzmaßnahmen umsetzt. Damit besteht sowohl für den Auftragsverarbeiter als auch für den für die Verarbeitung verantwortlichen die Gefahr eines DS-GVO Verstoßes. Art. 5 Abs. 2 DS-GVO verlangt zudem, dass der Verantwortliche nicht nur für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist, sondern ihre Einhaltung auch nachweisen können muss.
Daneben ist es üblich, dass Webhoster für das Hosting von Webseiten weitere Auftragsverarbeiter in Anspruch nehmen. Die Kriterien, unter denen dies möglich ist, sind in Art. 28 Abs. 2 und 4 DS-GVO geregelt. Nach Art. 28 Abs. 2 DS-GVO dürfen weitere Auftragsverarbeiter nur mit der gesonderten oder allgemein schriftlichen Einwilligung des für die Verarbeitung Verantwortlichen beauftragt werden. Sofern eine allgemein schriftliche Genehmigung des Verantwortlichen vorliegt, müssen Verantwortliche über jeden neuen Unterauftragsverarbeiter informiert werden und die Möglichkeit haben, Einspruch zu erheben. Die Datenschutzpflichten, denen der Erstauftragsverarbeiter unterliegt werden auch auf den Unterauftragsverarbeiter übertragen. Allerdings ist zu berücksichtigen, dass im AVV mit diesem keine identischen vertraglichen Vereinbarungen getroffen werden, sondern die Datenschutzpflichten sowie die technischen und organisatorischen Maßnahmen auf die Verarbeitungstätigkeit des Unterauftragsverarbeiter ausgerichtet werden.
Kontrollen durch Aufsichtsbehörden
Um Webhoster und für die Datenverarbeitung Verantwortliche beim Abschluss eines rechtskonformen AVV zu unterstützen, prüfen verschiedene Datenschutzaufsichtsbehörden Musterverträge von ausgewählten großen Webhostern. Die Aufsichtsbehörden nutzen hierfür eine zu diesem Zweck entwickelte Checkliste für AVV und stellen diese Webhostern zur Verfügung. Dazu, ob bei fehlerhaften AVV bereits im Zuge der gestarteten Prüfung Bußgelder verhängt werden könnten wurden keine Angaben gemacht. Vorerst scheint dies jedoch nicht der Fall zu sein und die Prüfung ist als eine Möglichkeit nachzubessern anzusehen. Eine erneute Überprüfung der Betroffenen Webhoster ist jedoch nicht unwahrscheinlich, insbesondere bei Feststellung grober Fehler.
Handlungsempfehlung
Die Checkliste bietet eine Orientierungshilfe, wie einzelne Anforderungen eines AVV erfüllt werden können und zeigt auf, welche Maßnahmen möglicherweise nicht ausreichen, um den Anforderungen eines rechtskonformen AVV gerecht zu werden. Dadurch erhalten Webseitenbetreiber und Verantwortliche eine gute Möglichkeit bestehende AVV und Musterverträge eigenständig überprüfen zu können und zukünftig rechtsicher abzuschließen.
Auch ich anderen Zusammenhängen abgeschlossene AVV sollten mithilfe der Checkliste überprüft werden, um etwaige mögliche Sanktionsmöglichkeiten der Aufsichtsbehörden zu vermeiden.
Denn Verstöße gegen die Anforderungen der Art. 28 ff. DS-GVO werden gem. Art. 83 Abs. 4 lit. a) DS-GVO mit einer Geldbuße von bis zu 10.000.000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet. Diese Sanktionen können sowohl gegen Verantwortliche als auch gegen Auftragsverarbeiter verhängt werden, sodass jede Partei dafür verantwortlich ist, die Mindestanforderung des Art. 28 DS-GVO zu erfüllen und einen gesetzeskonformen AVV abzuschließen. Zusätzlich können Betroffene gem. Art. 82 Abs. 1 DS-GVO Schadenersatzansprüche aus materiellen und immateriellen Schäden gegen Verantwortliche und Auftragsverarbeiter geltend machen. Nach Art. 82 Abs. 2 DS-GVO haftet jeder beteiligte Verantwortliche für den Schaden, der durch eine nicht der DS-GVO entsprechende Verarbeitung verursacht wurde. Auftragsverarbeiter hingegen haften gem. Art. 82 Abs. 2 S.2 DS-GVO nur dann, wenn sie ihren speziell auferlegten Pflichten nicht nachkommen oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen handeln. Eine Befreiung von der Haftung ist gem. Art. 82 Abs. 3 DS-GVO nur dann möglich, wenn Verantwortliche oder Auftragsverarbeiter nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.