Zum Inhalt springen 
Zahlreiche Webhoster und Personen, die Hosting-Dienstleistungen in Anspruch nehmen, haben sich noch nicht genau mit den gesetzlichen Vorschriften auseinander gesetzt. Sobald Dienstleistungen eines Webhosters in Anspruch genommen werden, kann es unter Umständen erforderlich sein eine schriftliche Vereinbarung zu treffen. Dies trifft insbesondere dann zu, wenn die Voraussetzungen des § 11 BDSG vorliegen. Die gesetzliche Vorschrift sagt aus, dass beim Outsourcing der Datenverarbeitung personenbezogener Daten bestimmte Inhalte vereinbart und schriftlich festgehalten werden müssen. Wir klären Sie über die Vereinbarungsinhalte und mögliche Folgen einer Nichteinhaltung auf.
§ 11 BDSG – Webhosting z.T. nur mit schriftlicher Vereinbarung möglich
Das Webhosting wird mittlerweile von zahlreichen Dienstleistern angeboten. Oftmals reichen bereits wenige Klicks aus, um einen WordPress-Blog, eine Website oder einen Online-Shop hochzuladen. Den meisten Webhostern nicht bekannt, dass beim Webhosting eine schriftliche Vereinbarung mit dem Nutzer erfolgen muss, falls während des Auftrags personenbezogene Daten verarbeitet werden. Dies wird von § 11 BDSG (Bundesdatenschutzgesetz) vorgeschrieben. Beim Webhosting bekommt ein Nutzer von einem Provider Speicherplatz auf einem Webserver zur Verfügung gestellt. Der Leistungsumfang reicht vom einfachen Bereitstellen der Ressourcen bis hin zu vielseitigen Leistungen wie Datensicherung, Monitoring und statistischen Auswertungen. Wenn die bereit gestellten Angebote mit der Speicherung und Verarbeitung personenbezogener Daten verbunden sind, müssen schriftliche Vereinbarungen getroffen werden. Dies gilt insbesondere dann, wenn eine Auftragsdatenverarbeitung vorliegt. Unter einer solchen wird das Outsourcen von Datenverarbeitungsprozessen verstanden. Der Webhoster bleibt gegenüber dem Auftragsgeber immer weisungsgebunden, d.h. er hat bzgl. der übermittelten Daten keinen Entscheidungs- oder Wertungsspielraum.
Der Inhalt des § 11 BDSG (Bundesdatenschutzgesetz)
§ 11 I BDSG sagt aus, dass der Auftraggeber für die Einhaltung der Vorschriften des BDSG verantwortlich ist. Dieser muss unter anderem dafür Sorge tragen, dass der Webhoster bei der Verarbeitung personenbezogener Daten das BDSG einhält. Falls ein Schaden anfällt, muss dieser vom Auftraggeber getragen werden. Die Kosten können über Schadensersatz vom Webhoster zurückgeholt werden. § 11 II BDSG sagt aus, dass der Auftragnehmer (der Webhoster) sämtliche Maßnahmen auf technischer und organisatorischer Ebene sorgfältig auszuwählen hat. Anschließend wird ausgeführt, dass das Gesetz zwingend vorsieht, dass der Auftrag ausschließlich auf schriftlichem Wege zu erteilen ist. Im Vertrag sind folgende Punkte festzuhalten:
– Gegenstand und Dauer des Auftrages
– Umfang, Zweck und Art der Erhebung, Verarbeitung und Nutzung personenbezogener Daten
– Art der Daten und Kreis der Betroffenen
– Die zu treffenden organisatorischen und technischen Maßnahmen nach § 9 BDSG
– Maßnahmen zu Sperrung, Löschung und Berichtigung der Daten
– Die Pflichten des Auftragnehmers, zum Beispiel Kontrollen (festgelegt in § 11 IV BDSG)
– Etwaige Berechtigungen Subunternehmer zu beschäftigen
– Festhalten der Kontrollrechte des Auftraggebers
– Duldungs- und Mitwirkungspflichten des Auftragnehmers
– Mitteilungspflichten des Auftragnehmers und dessen Subunternehmer beim Verstoß gegen Schutzvorschriften hinsichtlich
personenbezogener Daten
– Umfang von Weisungsbefugnissen des Auftraggebers gegenüber dem Auftragnehmer (Webhoster)
– Die Löschung von Daten nach Beendigung des Auftrages und die Rückgabe überlassener Datenträger
Bei öffentlichen Stellen kann eine Vereinbarung mit der Fachaufsichtsbehörde getroffen werden. Diese hat sich vor dem Outsourcen der Datenverarbeitung über die technischen und organisatorischen Standards zu informieren und diese regelmäßig zu kontrollieren. Die Ergebnisse sind zu protokollieren. § 11 BDSG sagt aus, dass der Auftragnehmer, d.h. der Webhoster, den Auftraggeber unverzüglich zu unterrichten hat, sobald dessen Weisungen nach seiner Ansicht gegen Datenschutzgesetze verstößt. Für Personen, die Dienstleistungen von Webhostern in Anspruch nehmen, stellt sich die Schuldfrage. Schließlich ist es bei der Auftragsdatenverarbeitung geradezu charakteristisch, dass die Pflicht zur Einhaltung der gesetzlichen Vorschriften weiterhin beim Nutzer liegt und nicht beim Webhoster, obwohl dieser die Verarbeitung personenbezogener Daten durchführt. Die Sorgfaltspflicht tritt bereits vor der Erteilung des Auftrages ein: Nutzer sind verpflichtet sich von den technischen Qualitäten ihres zukünftigen Webhosters zu überzeugen. Diese Sorgfaltspflichten bestehen auch während des Auftragsverhältnisses. Die nach wie vor wichtigste Anforderung ist, dass der Auftrag für die Datenverarbeitung schriftlich zu erteilen ist. Eine schriftliche Vereinbarung setzt voraus, dass Webhoster und Nutzer ihre Unterschriften unter den Vertrag setzen. Die Übermittlung eines Online-Formulars oder eine Beauftragung per E-Mail reichen nicht aus. Außerdem muss die Vereinbarung die oben genannten Punkte (zehn Voraussetzungen) enthalten, damit die Vereinbarung den Anforderungen des § 11 BDSG entspricht.
Das BDSG in Verbindung zum Webhosting
Ob beim Webhosting eine Auftragsdatenverarbeitung nach § 11 BDSG vorliegt und eine schriftliche Vereinbarung tatsächlich erforderlich ist, wird unterschiedlich beurteilt. Einige Rechtswissenschaftler vertreten die Ansicht, dass eine Auftragsdatenverarbeitung immer dann vorliegt, wenn Speicherplatz und Rechnerleistung eines Fremden beansprucht werden. Demnach liegt beim Webhosting immer eine Auftragsdatenverarbeitung vor. Die Begründung liegt darin, dass durch die physische Herrschaft über die Daten erhebliche Einflussmöglichkeiten auf die Datenverarbeitung entstehen. Nach dieser Ansicht ist eine Auftragsdatenverarbeitung immer dann gegeben, wenn auf die datenverarbeitenden Systeme eingewirkt werden kann. Dies trifft umso mehr zu, wenn der Webhoster Aufgaben aus dem Bereich der Überwachung und Wartung übernimmt. Andere Rechtswissenschaftler nehmen an, dass eine Auftragsdatenverarbeitung in diesen Fällen noch nicht vorliegt. Falls Kunden bei einem Webhoster Speicherplatz beanspruchen, mieten diese lediglich fremde Datenverarbeitungsanlagen. Der Nutzer entscheidet welche Programme installiert und welche personenbezogenen Daten gespeichert werden. Die zweite Ansicht nimmt eine Auftragsdatenverarbeitung erst dann an, wenn der Webhoster Sicherheitskopien (Backups) anfertigt und diese aufbewahrt. Die Datenschutz-Aufsichtsbehörden in Deutschland nehmen eine Auftragsdatenverarbeitung an, wenn ein Online-Shop gehostet wird. Schließlich werden bei jedem Online-Shop personenbezogene Daten gespeichert.
Europäische Regelungen zur Auftragsdatenverarbeitung
Wie bereits erläutert wurde, ist eine schriftliche Vereinbarung fürs Webhosting immer dann notwendig, wenn eine Auftragsdatenverarbeitung auf Seiten des Webhosters vorliegt. Mit der Datenschutz-Richtlinie (RL 95/46/EG) wird eine Gruppe erfasst, die als „Auftragsverarbeiter“ bezeichnet wird. Das unabhängige Beratergremium der Europäischen Union,“Artikel 29 Datenschutzgruppe“, nahm zur Rolle von Webhostern Stellung: „Webhoster sind Auftragsverarbeiter von personenbezogenen Daten, die von ihren Kunden im Internet veröffentlicht werden“. Für Webhoster ist es von enormer Bedeutung ob ihre Leistungen als Auftragsdatenverarbeitung betrachtet werden. Die weitreichenden Konsequenzen eines Verstoßes können straf- und zivilrechtliche Folgen beinhalten. Webhoster müssten ihren Kunden im Falle einer Auftragsdatenverarbeitung Zutritt zu ihren Rechenzentren gewähren, damit sie sich ein Bild von den organisatorischen und technischen Maßnahmen erstellen können. Daher verwundert es kaum, dass sich die meisten Webhoster nicht als Auftragsdatenverarbeiter i.S.d. § 11 BDSG betrachten. Verstöße gegen das BDSG können von der Datenschutz-Aufsichtsbehörde gemäß § 43 I Nr. 2b i.V.m. § 43 III BDSG mit einer Geldbuße in einer Höhe von bis zu 50.000 Euro belegt werden. Die Frage, ob Webhosting eine Auftragsdatenverarbeitung darstellt, lässt sich derzeit nicht zu 100 Prozent klären. Da in der Literatur verschiedene Meinungen existieren, die Rechtsprechung aber noch keine diesbezüglichen Urteile gefällt hat, ist der Abschluss von Webhosting-Leistungen im potentiellen Bereich der Auftragsdatenverarbeitung derzeit eine rechtliche Grauzone. Da Shopbetreiber, die ihren Online-Shop bei Webhostern hosten lassen, tendenziell von der Auftragsdatenverarbeitung betroffen sind, sollten diese die rechtlichen Entwicklungen dauerhaft beobachten. Webhoster, die auf Nummer sicher gehen möchten, sollten sich Muster-Verträge zur Auftragsdatenverarbeitung besorgen, damit sie im Zweifelsfall irgendetwas vorweisen können. Kunden sollten sich bei Unsicherheiten mit ihrem Webhoster in Verbindung setzen und sich im individuellen Einzelfall beraten lassen.
