DSGVO: Behörden prüfen jetzt Verträge von Website-Betreibern und Webhostern

Online-Händler und andere Website-Betreiber lagern den technischen Betrieb ihrer Internetpräsenzen häufig auf externe Webhoster um. Dabei werden regelmäßig sogenannte Auftragsverarbeitungsverträge (AVV) geschlossen. Die sind, zusammengefasst, immer dann nötig, wenn Dritte mit der Verarbeitung personenbezogener Daten beauftragt werden und dabei weisungsgebunden gegenüber dem Verantwortlichen sind. Auch im Verhältnis zwischen Website-Betreiber und Host ist das häufig der Fall. Die entsprechenden Verträge müssen aber ebenfalls datenschutzrechtlichen Standards gerecht werden.

Ob das bei den Verträgen zwischen Webhostern aus Berlin und deren Kunden der Fall ist, will die Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrollieren. Auch weitere Datenschutzbehörden beteiligen sich an der koordinierten Prüfung, sodass nicht nur Unternehmen mit Sitz in Berlin betroffen sind. 

Auftragsverarbeitungsverträge müssen rechtliche Standards einhalten

Online-Händler kennen das Prinzip: Erheben sie personenbezogene Daten ihrer Kundinnen und Kunden und verarbeiten diese, sind sie aus datenschutzrechtlicher Sicht dafür verantwortlich, das auf rechtskonforme Beine zu stellen. Nun kommt es aber vor, dass die Daten weitergegeben werden müssen, etwa weil man für den Kundenservice auf ein externes Callcenter zurückgreift, oder aber weil man sich eines externen Webhosters bedient. Arbeitet der jeweilige Dienst weisungsgebunden und verarbeitet in diesem Kontext personenbezogene Daten, stellt das eine Auftragsverarbeitung dar. Bedeutet sozusagen: Der Online-Händler bleibt aus rechtlicher Sicht der Verantwortliche, der Host wäre lediglich Auftragsverarbeiter.

Wer Aufträge erteilt, tut aber ganz grundsätzlich gut darin, den genauen Rahmen des Auftrags festzulegen – dieses Prinzip gilt nicht nur allgemein, sondern auch ganz konkret und auf rechtlicher Grundlage im Bereich Auftragsverarbeitung. Die DSGVO gibt vor, welche Rechte, Pflichten und Maßnahmen in entsprechenden Auftragsverarbeitungsverträgen zu regeln sind. 

DSGVO: Viele Standardverträge erfüllen Anforderungen nicht 

Wie die Berliner Datenschutzbeauftragte berichtet, würden in den Aufsichtsbehörden immer wieder Anfragen von Verantwortlichen eingehen, die feststellen, dass der vom Webhoster angebotene AVV die rechtlichen Anforderungen nicht erfüllt.

Die Untersuchungen der Aufsichtsbehörden bestätigten das. „Immer wieder berichten sie uns von mangelhaften Standardverträgen, die Webhoster nicht gewillt sind zu ändern“, sagt Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI. So gebe es in vielen AVV keine ausreichenden Nachweise des Webhosters darüber, dass dieser die vereinbarten Datenschutzmaßnahmen auch umsetzt. Für Website-Betreiber ist das ein ernstes Problem, denn, wie gesagt: Sie sind die Verantwortlichen, und sie müssen gegenüber Behörden und Betroffenen die Einhaltung der Vorschriften nachweisen können. 

Überprüfung durch Behörden in diversen Bundesländern

Man wolle Hosts und Verantwortliche daher beim Abschluss rechtskonformer AVV unterstützen, so heißt es in der Ankündigung. Man ermuntere alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Bußgelder, so heißt es weiter, könnten nicht nur die Verantwortlichen erhalten, die IT-Dienstleister ohne ordnungsgemäßen AVV einsetzen, sondern auch die Dienstleister selbst. Neben der Berliner Datenschutzbeauftragten untersuchen auch die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern die Situation in ihren jeweiligen Bundesländern.