§ 11 BDSG - Webhosting er muligvis kun muligt med skriftlig aftale

Mange webhosts og brugere af hosting-tjenester har endnu ikke beskæftiget sig indgående med de juridiske bestemmelser. Så snart man benytter sig af en webhosts tjenester, kan det være nødvendigt at indgå en skriftlig aftale. Dette gælder især, hvis kravene i § 11 i BDSG er opfyldt. I lovbestemmelsen står der, at visse aspekter skal aftales og registreres skriftligt, når behandlingen af personoplysninger udliciteres. Vi informerer dig om aftalens indhold og de mulige konsekvenser af manglende overholdelse af aftalen.

§ 11 BDSG - Webhosting er delvis kun muligt efter skriftlig aftale

Webhosting tilbydes nu af mange tjenesteudbydere. Ofte er det nok med få klik at uploade en WordPress-blog, et websted eller en onlinebutik. Som de fleste webhoteller ikke ved, kræver webhosting en skriftlig aftale med brugeren, hvis der behandles personoplysninger i forbindelse med bestillingen. Dette er påkrævet i henhold til § 11 i BDSG (forbundslov om databeskyttelse). Med webhosting får en bruger stillet lagerplads på en webserver til rådighed af en udbyder. Tjenesterne spænder fra simpel tilrådighedsstillelse af ressourcer til alsidige tjenester som f.eks. sikkerhedskopiering af data, overvågning og statistiske evalueringer. Hvis de leverede tjenester indebærer lagring og behandling af personoplysninger, skal der indgås skriftlige aftaler. Dette gælder især, hvis der er tale om bestilt databehandling. Hermed menes outsourcing af databehandlingsprocedurer. Webhotellet er altid bundet af instrukser over for kunden, dvs. at det ikke har noget beslutnings- eller vurderingsspillerum med hensyn til de overførte data.

Indholdet af § 11 i BDSG (Bundesdatabehandlingsgesetz)

§ 11 I BDSG fastslår, at kunden er ansvarlig for, at bestemmelserne i BDSG overholdes. Kunden skal bl.a. sikre sig, at webhotellet overholder BDSG ved behandling af personoplysninger. Eventuelle skader skal afholdes af kunden. Omkostningerne kan inddrives fra webhotellet i form af skadeserstatning. § 11 II BDSG fastsætter, at kontrahenten (webhosteren) skal udvælge alle foranstaltninger på teknisk og organisatorisk plan omhyggeligt. Det fremgår derefter, at loven gør det obligatorisk, at ordren udelukkende skal være skriftlig. I den Kontrakt følgende punkter bør bemærkes:

- Kontraktens genstand og varighed
- Omfang, formål og art af indsamling, behandling og brug af personoplysninger
- Type af oplysninger og gruppe af registrerede
- De organisatoriske og tekniske foranstaltninger, der skal træffes i henhold til § 9 i BDSG
- Foranstaltninger til blokering, sletning og berigtigelse af oplysninger
- Kontrahentens forpligtelser, f.eks. kontrol (defineret i § 11 IV BDSG)
- Eventuelle tilladelser til at ansætte underleverandører
- Registrering af kundens kontrolrettigheder
- Kontrahentens forpligtelser til at tolerere og samarbejde
- Kontrahentens og dennes underleverandørers underretningsforpligtelser i tilfælde af overtrædelse af beskyttelsesreglerne med hensyn til
personoplysninger
- Omfanget af kundens beføjelse til at give instrukser til kontrahenten (webhosteren)
- Sletning af data efter afslutning af ordren og returnering af de leverede databærere

I tilfælde af offentlige organer kan der indgås en aftale med tilsynsmyndigheden. Tilsynsmyndigheden skal indhente oplysninger om de tekniske og organisatoriske standarder, inden databehandlingen udliciteres, og skal regelmæssigt overvåge dem. Resultaterne skal registreres. § 11 BDSG fastsætter, at kontrahenten, dvs. webhosteren, straks skal underrette kunden, så snart dennes instruktioner efter hans mening er i strid med databeskyttelseslovgivningen. For folk, der bruger webhosts tjenester, opstår spørgsmålet om skyld. Når alt kommer til alt, er det i tilfælde af bestilt databehandling næsten karakteristisk, at pligten til at overholde de lovbestemte bestemmelser stadig ligger hos brugeren og ikke hos webhosteren, selv om sidstnævnte udfører behandlingen af personoplysningerne. Omsorgspligten opstår allerede, inden ordren afgives: Brugerne er forpligtet til at sikre sig selv om de tekniske kvaliteter hos deres potentielle webhost. Disse omsorgspligter eksisterer også under kontraktforholdet. Det vigtigste krav er stadig, at ordren om databehandling skal være skriftlig. En skriftlig aftale kræver, at webhost og bruger underskriver kontrakten. Det er ikke tilstrækkeligt at indsende en online-formular eller en opgave pr. e-mail. Desuden skal aftalen indeholde de ovennævnte punkter (ti krav), for at aftalen opfylder kravene i § 11 BDSG.

BDSG i forbindelse med webhosting

Det vurderes forskelligt, om webhosting udgør en bestilt databehandling i henhold til § 11 i den tyske forbundslov om databeskyttelse (BDSG), og om der faktisk kræves en skriftlig aftale. Nogle jurister er af den opfattelse, at der altid er tale om bestilt databehandling, når der anvendes lagerplads og computerydelse fra en tredjepart. Webhosting udgør derfor altid en bestilt databehandling. Årsagen hertil er, at den fysiske kontrol med dataene giver betydelige muligheder for at påvirke databehandlingen. Ifølge dette synspunkt er der altid tale om databehandling på bestillingsbasis, hvis databehandlingssystemerne kan påvirkes. Dette gælder i endnu højere grad, hvis webhotellet overtager opgaver inden for overvågning og vedligeholdelse. Andre jurister antager, at der endnu ikke er tale om bestilt databehandling i disse tilfælde. Hvis kunderne anmoder om lagerplads hos en webhostingvirksomhed, lejer de blot tredjeparts databehandlingsudstyr. Brugeren bestemmer selv, hvilke programmer der skal installeres, og hvilke personlige data der skal gemmes. Det andet synspunkt går ud fra, at databehandling kun kan udføres på bestilling, hvis webhotellet laver sikkerhedskopier og gemmer dem. Databeskyttelsestilsynsmyndighederne i Tyskland tager imod den bestilte databehandling, når en onlineshop er hosted. Alle onlinebutikker gemmer jo personlige data.

EU-forordninger om databehandling på bestilling

Som allerede forklaret er en skriftlig aftale om webhosting altid nødvendig, hvis webhotellet foretager databehandling på bestilling. Databeskyttelsesdirektivet (direktiv 95/46/EF) omfatter en gruppe, der kaldes "databehandlere". Den Europæiske Unions uafhængige rådgivende organ, Artikel 29-gruppen, kommenterede webhosts rolle: "Webhosts er behandlere af personoplysninger, der offentliggøres på internettet af deres kunder". For webhosts er det af enorm betydning, om deres tjenester betragtes som bestilt databehandling. De vidtrækkende konsekvenser af en overtrædelse kan omfatte strafferetlige og civilretlige sanktioner. Webhostere skal give deres kunder adgang til deres datacentre i tilfælde af bestilt databehandling, således at de kan danne sig et billede af de organisatoriske og tekniske foranstaltninger. Det er derfor ikke overraskende, at de fleste webhostere ikke betragter sig selv som databehandlere i henhold til § 11 BDSG. Overtrædelser af BDSG kan retsforfølges af tilsynsmyndigheden for databeskyttelse i henhold til § 43 I nr. 2b sammenholdt med § 43 III BDSG. § 43 III BDSG kan straffes med en bøde på op til 50.000 euro. Spørgsmålet om, hvorvidt webhosting er en bestilt databehandling, kan på nuværende tidspunkt ikke afklares 100 %. Da der findes forskellige udtalelser i litteraturen, men domstolene endnu ikke har truffet nogen afgørelse i denne henseende, er konklusionen om webhosting-tjenester på det potentielle område for bestilt databehandling i øjeblikket en juridisk gråzone. Da butiksoperatører, der har deres online shop hostet af webhostere vært Hvis en webhost har en tendens til at blive berørt af bestilt databehandling, bør han eller hun holde nøje øje med den juridiske udvikling. Webhoteller, der ønsker at være på den sikre side, bør indhente eksempler på kontrakter om bestilt databehandling, så de har noget at vise frem i tvivlstilfælde. Kunderne bør kontakte deres webhost, hvis de er usikre, og bede om råd i individuelle tilfælde.

Aktuelle artikler