DSGVO & Webhosting: Brauche ich einen Vertrag über die Auftragsverarbeitung?

Für Online-Händler ist ein persönlicher Internetauftritt durch eine eigene Webseite und einen Online-Shop unverzichtbarer Bestandteil ihrer Arbeit. Viele Händler bedienen sich hierzu der Hilfe durch Service-Provider. Doch dabei werden auch persönliche Daten von Kunden erhoben und verarbeitet. Daher stellt sich die Frage, ob es hierbei einen Vertrag über die Auftragsverarbeitung nach der DSGVO braucht?

Was ist Web-Hosting?

Wer eine eigene Internetseite im Web veröffentlichen möchte, braucht neben den technischen Fähigkeiten auch ausreichend Speicherplatz. Doch ist die Verwendung eines eigenen Servers zeit- und kostenintensiv. Aus diesem Grund bedienen sich die meisten Händler des Webhosting und betreiben ihre Internetseite oder ihren Onlineshop über externe Dienstleister. Anbieter hierzu gibt es viele.

Hierbei wird jedoch nicht nur Speicher genutzt, sondern es werden auch Daten von Kunden - wie E-Mail-Adressen, Name, Anschrift etc. - erfasst und weitergeleitet. Daneben ist natürlich auch die Erfassung von Daten für das Tracking von Kundenverhalten oft ein Teil der Serviceleistungen. Somit werden daher auch personenbezogene Daten nach der DSGVO erhoben und verarbeitet.

Ergo: Ein Fall der Auftragsverarbeitung?

Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen, „Auftraggeber“, beispielsweise den Online-Händler. Der Auftragnehmer wird zwar so in den Verantwortungsbereich der Auftraggebers integriert, ist dabei nach der DSGVO jedoch "weisungsgebunden”. Dies ist auch auch der Grund, warum bestimmte Tätigkeiten, wie

• Steuerberater,
• Wirtschaftsprüfer,
• Rechtsanwälte,

nicht unter die Auftragsverarbeitung fallen. Sie arbeiten eigenständig, eigenverantwortlich und weisungsunabhängig.

Service-Provider hingegen handeln weisungsgebunden für ihre Kunden. Dafür spricht auch, dass jegliche Erhebung/Verarbeitung durch die jeweiligen Provider durchgeführt wird, dies aber nach außenerkennbar durch die Webseite des Händlers erfolgt und auch nur seine Geschäftszwecke im Vordergrund stehen. Daher werden auch noch weitere Tätigkeiten, die für Händler erbracht werden, als Auftragsverarbeitung im Sinn der DSGVO gesehen, z.B.:

• Webdesigner,
• Backup-Sicherheitsspeicherung,
• Datenkonvertierung.

Lediglich Access-Provider sind ausgenommen

Wird jedoch lediglich ein bloßer Internet-Zugangsdienst (z. B. die Zugangsvermittlung, Datentransportleistung, einschließlich Website-Hosting ohne weitere Leistungen mit personenbezogenen Daten) angeboten, liegt hingegen kein Fall der Auftragsverarbeitung vor. Hiervon werden auch Fälle erfasst, wo tatsächlich nur der Datentransport bereitgestellt wird. In diesen Fällen müssen Händler keinen Vertrag über die Auftragsverarbeitung schließen.

Fallen bloße Wartungsarbeiten auch unter die Pflicht?

Auch Händler, die einen eigenen Server betreiben, sehen sich der Problematik der Auftragsverarbeitung ausgesetzt, falls sie Dienstleister mit der Wartung beauftragen und diese dabei Zugriff auf personenbezogene Daten haben. Bisher sah das Bundesdatenschutzgesetz (BDSG) eine Sonderregelung vor, die DSGVO hingegen nicht.

Nach Ansicht des Bayerischen Landesamt für Datenschutz (BayLDA) liegt hier ein Fall der Auftragsverarbeitung nach der DSGVO vor, wenn bei der Wartung oder Prüfung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die juristische Literatur ist sich derzeit jedoch noch nicht sicher, wie die Neuerung zu handhaben ist. Bis zu einer Klärung ist jedoch zu empfehlen, dies als Auftragsverarbeitung zu betrachten. Die Strafen sind einfach zu hoch, um eine übermäßige Gefahr einzugehen.