Teilen Teilen Kommentare Drucken

DSGVO & Webhosting: Brauche ich einen Vertrag über die Auftragsverarbeitung?

Veröffentlicht: 21.03.2018 | Autor: Ivan Bremers | Letzte Aktualisierung: 21.03.2018 | Gelesen: 20630 mal

Für Online-Händler ist ein persönlicher Internetauftritt durch eine eigene Webseite und einen Online-Shop unverzichtbarer Bestandteil ihrer Arbeit. Viele Händler bedienen sich hierzu der Hilfe durch Service-Provider. Doch dabei werden auch persönliche Daten von Kunden erhoben und verarbeitet. Daher stellt sich die Frage, ob es hierbei einen Vertrag über die Auftragsverarbeitung nach der DSGVO braucht?

© ktsdesign/shutterstock.com

Was ist Web-Hosting?

Wer eine eigene Internetseite im Web veröffentlichen möchte, braucht neben den technischen Fähigkeiten auch ausreichend Speicherplatz. Doch ist die Verwendung eines eigenen Servers zeit- und kostenintensiv. Aus diesem Grund bedienen sich die meisten Händler des Webhosting und betreiben ihre Internetseite oder ihren Onlineshop über externe Dienstleister. Anbieter hierzu gibt es viele.

Hierbei wird jedoch nicht nur Speicher genutzt, sondern es werden auch Daten von Kunden - wie E-Mail-Adressen, Name, Anschrift etc. - erfasst und weitergeleitet. Daneben ist natürlich auch die Erfassung von Daten für das Tracking von Kundenverhalten oft ein Teil der Serviceleistungen. Somit werden daher auch personenbezogene Daten nach der DSGVO erhoben und verarbeitet.

Ergo: Ein Fall der Auftragsverarbeitung?

Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen, „Auftraggeber“, beispielsweise den Online-Händler. Der Auftragnehmer wird zwar so in den Verantwortungsbereich der Auftraggebers integriert, ist dabei nach der DSGVO jedoch "weisungsgebunden”. Dies ist auch auch der Grund, warum bestimmte Tätigkeiten, wie

nicht unter die Auftragsverarbeitung fallen. Sie arbeiten eigenständig, eigenverantwortlich und weisungsunabhängig.

Service-Provider hingegen handeln weisungsgebunden für ihre Kunden. Dafür spricht auch, dass jegliche Erhebung/Verarbeitung durch die jeweiligen Provider durchgeführt wird, dies aber nach außenerkennbar durch die Webseite des Händlers erfolgt und auch nur seine Geschäftszwecke im Vordergrund stehen. Daher werden auch noch weitere Tätigkeiten, die für Händler erbracht werden, als Auftragsverarbeitung im Sinn der DSGVO gesehen, z.B.:

  • Webdesigner,
  • Backup-Sicherheitsspeicherung,
  • Datenkonvertierung.

Lediglich Access-Provider sind ausgenommen

Wird jedoch lediglich ein bloßer Internet-Zugangsdienst (z. B. die Zugangsvermittlung, Datentransportleistung, einschließlich Website-Hosting ohne weitere Leistungen mit personenbezogenen Daten) angeboten, liegt hingegen kein Fall der Auftragsverarbeitung vor. Hiervon werden auch Fälle erfasst, wo tatsächlich nur der Datentransport bereitgestellt wird. In diesen Fällen müssen Händler keinen Vertrag über die Auftragsverarbeitung schließen.

Fallen bloße Wartungsarbeiten auch unter die Pflicht?

Auch Händler, die einen eigenen Server betreiben, sehen sich der Problematik der Auftragsverarbeitung ausgesetzt, falls sie Dienstleister mit der Wartung beauftragen und diese dabei Zugriff auf personenbezogene Daten haben. Bisher sah das Bundesdatenschutzgesetz (BDSG) eine Sonderregelung vor, die DSGVO hingegen nicht.

Nach Ansicht des Bayerischen Landesamt für Datenschutz (BayLDAliegt hier ein Fall der Auftragsverarbeitung nach der DSGVO vor, wenn bei der Wartung oder Prüfung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die juristische Literatur ist sich derzeit jedoch noch nicht sicher, wie die Neuerung zu handhaben ist. Bis zu einer Klärung ist jedoch zu empfehlen, dies als Auftragsverarbeitung zu betrachten. Die Strafen sind einfach zu hoch, um eine übermäßige Gefahr einzugehen.

Über den Autor

Ivan Bremers Experte für IT-Recht

Als weiterer Jurist im Bunde ist Ivan seit 2017 als Volljurist und jurstischer Redakteur tätig. Im Bereich E-Commerce berät und berichtet er regelmäßig zu Rechtsthemen, die die Branche bewegen. Daneben ist er als Referent auf Veranstaltungen rund um das Thema E-Commerce tätig.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Ivan Bremers

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.

Kommentare  

#10 Ralf 13.08.2018, 19:29 Uhr
Vertrag zur Auftragsdatenve rarbeitung

Hallo,
ich habe eine winzige private Homepage. Wer sie aufruft, mit welchem Browser und welcher ip, interessiert mich nicht. Mein Provider sammelt diese ganzen Daten und hätte daher gerne, dass ich einen Vertrag zur Auftragsdatenve rarbeitung erstelle.

Aber - wofür? Ich brauch' die Daten nicht. Mein Provider sammelt sie aus eigenem Interesse für seine Zwecke. Kann ich ihn irgendwie dazu bringen, die Daten nicht zu sammeln oder die Verantwortung für seinen Datenhunger selbst zu übernehmen, statt sie auf mich abzuwälzen?

CU

Kann ich
Zitieren
#9 Redaktion 30.04.2018, 14:09 Uhr
Hallo Michael,

danke für deine Nachfrage. Der AV-Vertrag ist für euch beide wichtig, solange der Dienstleister mit personenbezogen en Daten arbeitet (Name, Anschrift etc.). Habt ihr keinen Vertrag wird der Dienstleister auf eigene Faust tätig und bräuchte dafür natürlich einen Rechtsgrund, den er aber nicht hätte. Und du würdest im schlimmsten Fall Daten an einen Dritten weitergeben, was du auch nicht einfach tun kannst. Ihr wärt also beide in der Haftung!. Daher wäre es ratsam an den Dienstleister heranzutreten. Es gibt inzwischen mehrere Musterverträge im Internet, die ihr dafür nutzen könnt.
Im schlimmsten Fall müsstest du deine Geschäftbeziehu ng beenden.
Viel Erfolg
Viele Grüße
Die Redaktion
Zitieren
#8 Michael 27.04.2018, 11:41 Uhr
Hallo, 2 Fragen habe ich:

Wer muss sich denn um den Vertrag bemühen?
Der Webdesigner/ Hoster / Programmierer oder der Webseitenbesitz er / Onlineshopbetre iber?

Und was ist wenn der verantwortliche nach meiner ersten Frage nicht tätig wird.

Vielen Dank!

Michael
Zitieren
#7 Bettina Ramm 11.04.2018, 14:50 Uhr
Hallo zusammen,
die meisten Dienstleister stellen einen fertigen AV zur Verfügung, da einfach mal im Support nachfragen. Das Problem ist hier aus meiner Sicht, dass die Regelungen speziell für den Auftragsverarbe itungsvertrag in vielerlei Hinsicht noch umstritten ist. Der eine sagt so, der andere so. Wenn man den Vertrag unterzeichnet, ist man auf der sicheren Seite. Viktor, ich würde einfach mal bei Afterbuy nachfragen. Mit ebay ist wohl kein Vertrag nötig, aber bei Afterbuy bin ich nicht sicher.
Viele Grüße, Bettina
Zitieren
#6 Viktor 28.03.2018, 19:18 Uhr
ich verkaufe bei ebay und nutze Afterbuy. Soll ich mit Afterbuy einen Vertrag über die Auftragsverarbe itung abschliessen ?
Zitieren
#5 Sigi 27.03.2018, 11:43 Uhr
Zitat Redaktion:
"Wer ein Service-Provide r benutzt, braucht mit diesem auch einen Vertrag über die Auftragsverarbe itung. "

schön zu wissen, sehr aussagekräftig!
und was heisst es jetzt noch mal konkret für uns alle?
- sollen wir ein Blatt Papier haben wo auch das Wort "Vertrag" vorkommt?

hamma schon, erledigt!
Zitieren
#4 Sebastian G. 24.03.2018, 12:51 Uhr
Und für mich ist nun klar, das ich den Onlinehandel aufgeben werde.
Mir ist das alles zu blöd geworden.

Immer mehr Papierkram, Arbeitsaufwand und vor allem Kosten für nichts.
Kein Kunde interessiert sich für die AGB, Batterieverordn ung, Datenschutzvero rdnung, nervige Cookiehinweise die jeder nur wegklickt, die ach so tolle Streitplattform , wie die Buttons in der Kaufabwicklung heißen (müssen) und was weiß der Geier noch alles.

Mich erinnert das ganze immer mehr an einen Kindergarten oder Kleingartenverein.

Alles und jedes wird dem Kunden vorgekaut, dabei will der nur noch schnell klick klick machen und nicht stundenlang irgendwelche Texte auf dem Smartphone lesen.

Das sind alles Gesetze und Verordnungen für die großen Händler im Netz, die haben ihre Abteilungen die das programieren oder abarbeiten, da braucht der Boss nur mit dem Finger schnippen. Und es sind auch die, die Daten detailiert durch Experten auswerten können, ich nicht.
Der Kleine bleibt im Wust stecken und auf der Strecke.

Es gab tatsächlich mal Zeiten, da habe ich einfach verkauft und alle waren zufrieden.
Zitieren
#3 Redaktion 22.03.2018, 10:55 Uhr
Hallo Daniel, hallo Simon,

danke für eure Kommentare.
Wir wollen euch die Antwort natürlich nicht vorenthalten: Wer ein Service-Provide r benutzt, braucht mit diesem auch einen Vertrag über die Auftragsverarbe itung.

Viele Grüße
die Redaktion
Zitieren
#2 Simon 22.03.2018, 09:41 Uhr
Da kann ich Daniel nur zustimmen.
Ich bin genauso schlau wie vorher...
Es wäre schön, wenn Ihr den Artikel um die eigentliche Thematik anpasst / erweitert...
Zitieren
#1 Daniel 21.03.2018, 14:06 Uhr
Wieder ein Artikel, der die eigene Fragestellung des Titels nicht beantwortet. Lest Ihr Euch das eigentlich durch, bevor ihr das online stellt?
Zitieren

Schreiben Sie einen Kommentar

Sicherheitscode
Aktualisieren