Lukuisat web-isännät ja hosting-palveluja käyttävät ihmiset eivät ole vielä käsitelleet oikeudellisia säännöksiä yksityiskohtaisesti. Heti kun käytät web-isännän palveluja, voi olla tarpeen tehdä kirjallinen sopimus. Tämä pätee erityisesti, jos BDSG:n 11 §:n vaatimukset täyttyvät. Säädöksessä todetaan, että henkilötietojen käsittelyn ulkoistamisen yhteydessä on sovittava ja kirjattava kirjallisesti tietystä sisällöstä. Kerromme sinulle sopimuksen sisällöstä ja sopimuksen noudattamatta jättämisen mahdollisista seurauksista.
§ 11 BDSG - Webhosting osittain mahdollista vain kirjallisella sopimuksella.
Web-hostingia tarjoavat nykyään lukuisat palveluntarjoajat. Usein vain muutama klikkaus riittää WordPress-blogin, verkkosivuston tai verkkokaupan lataamiseen. Useimmat web-isännät eivät tiedä, että web-hosting vaatii kirjallisen sopimuksen käyttäjän kanssa, jos henkilötietoja käsitellään tilauksen aikana. Tätä edellytetään BDSG:n (liittovaltion tietosuojalaki) 11 §:ssä. Web-hostingissa palveluntarjoaja tarjoaa käyttäjälle tallennustilaa web-palvelimella. Palvelut vaihtelevat pelkistä resurssien tarjoamisesta monipuolisiin palveluihin, kuten tietojen varmuuskopiointiin, seurantaan ja tilastollisiin arviointeihin. Jos tarjottuihin palveluihin liittyy henkilötietojen tallentaminen ja käsittely, asiasta on tehtävä kirjallinen sopimus. Tämä pätee erityisesti, jos kyseessä on toimeksiantosuhteinen tietojenkäsittely. Tällä tarkoitetaan tietojenkäsittelyn ulkoistamista. Verkkosivuston ylläpitäjä on aina sidottu asiakkaalle annettuihin ohjeisiin, eli hänellä ei ole mitään päätöksenteko- tai arviointivapautta siirrettyjen tietojen suhteen.
BDSG:n 11 §:n (liittovaltion tietosuojalaki) sisältö
§ 11 § I BDSG:n mukaan asiakas on vastuussa BDSG:n säännösten noudattamisesta. Asiakkaan on muun muassa varmistettava, että web-isäntä noudattaa BDSG:tä käsitellessään henkilötietoja. Jos vahinkoa tapahtuu, asiakkaan on vastattava siitä. Kustannukset voidaan periä takaisin web-hosterilta korvauksena. § 11 § II BDSG:n mukaan toimeksisaajan (web-hosterin) on valittava huolellisesti kaikki tekniset ja organisatoriset toimenpiteet. Tämän jälkeen todetaan, että lain mukaan on pakollista, että määräys on annettava yksinomaan kirjallisesti. Vuonna Sopimus seuraavat seikat olisi otettava huomioon:
- Sopimuksen kohde ja kesto
- Henkilötietojen keräämisen, käsittelyn ja käytön laajuus, tarkoitus ja luonne.
- Tietotyyppi ja rekisteröityjen ryhmä
- BDSG:n 9 §:n mukaisesti toteutettavat organisatoriset ja tekniset toimenpiteet.
- Toimenpiteet tietojen estämiseksi, poistamiseksi ja oikaisemiseksi
- Toimeksisaajan velvoitteet, esimerkiksi valvonta (määritelty BDSG:n 11 IV §:ssä).
- Mahdolliset luvat alihankkijoiden palkkaamiseen.
- Asiakkaan valvontaoikeuksien kirjaaminen
- Toimeksisaajan velvoitteet suvaita ja tehdä yhteistyötä
- Urakoitsijan ja sen aliurakoitsijoiden ilmoitusvelvollisuudet, jos suojamääräyksiä rikotaan seuraavien seikkojen osalta
henkilötiedot
- Asiakkaan valtuudet antaa ohjeita toimeksisaajalle (web-hosterille).
- Tietojen poistaminen tilauksen suorittamisen jälkeen ja toimitettujen tietovälineiden palauttaminen.
Julkisten elinten osalta voidaan sopia asiasta valvontaviranomaisen kanssa. Valvontaviranomaisen on hankittava tietoja teknisistä ja organisatorisista standardeista ennen tietojenkäsittelyn ulkoistamista ja valvottava niitä säännöllisesti. Tulokset on kirjattava. § BDSG:n 11 §:ssä todetaan, että toimeksisaajan eli web-isännän on ilmoitettava asiakkaalle välittömästi, jos tämän ohjeet rikkovat hänen mielestään tietosuojalainsäädäntöä. Syyllisyyskysymys nousee esiin ihmisille, jotka käyttävät web-isäntien palveluja. Loppujen lopuksi on lähes tyypillistä, että kun kyseessä on toimeksiantosuhteinen tietojenkäsittely, velvollisuus noudattaa lakisääteisiä säännöksiä on edelleen käyttäjällä eikä verkkopalvelun tarjoajalla, vaikka tämä suorittaakin henkilötietojen käsittelyn. Huolellisuusvelvoite syntyy jo ennen tilauksen tekemistä: Käyttäjien on itse varmistuttava mahdollisen web-isäntänsä teknisistä ominaisuuksista. Nämä huolellisuusvelvoitteet ovat voimassa myös sopimussuhteen aikana. Edelleen tärkein vaatimus on, että tietojenkäsittelyä koskeva toimeksianto on annettava kirjallisesti. Kirjallinen sopimus edellyttää, että web-isäntä ja käyttäjä allekirjoittavat sopimuksen. Verkkolomakkeen tai tehtävän lähettäminen sähköpostitse ei riitä. Lisäksi sopimuksen on sisällettävä edellä mainitut kohdat (kymmenen vaatimusta), jotta sopimus täyttää BDSG:n 11 §:n vaatimukset.
BDSG web hostingiin liittyen
Sitä, onko web-hosting Saksan liittovaltion tietosuojalain (BDSG) 11 §:n mukaista toimeksiantosuhteista tietojenkäsittelyä ja tarvitaanko kirjallista sopimusta, arvioidaan eri tavoin. Eräät oikeusoppineet ovat sitä mieltä, että tietojenkäsittelyn toimeksianto on aina kyseessä, kun käytetään kolmannen osapuolen tallennustilaa ja tietokoneen suorituskykyä. Näin ollen verkkopalvelun ylläpito on aina toimeksiantosuhteista tietojenkäsittelyä. Syynä tähän on se, että tietojen fyysinen hallinta antaa huomattavia mahdollisuuksia vaikuttaa tietojen käsittelyyn. Tämän näkemyksen mukaan toimeksiantosuhteinen tietojenkäsittely on aina olemassa, jos tietojenkäsittelyjärjestelmiin voidaan vaikuttaa. Tämä pätee sitäkin enemmän, jos web-isäntä ottaa hoitaakseen valvontaan ja ylläpitoon liittyvät tehtävät. Muut oikeusoppineet olettavat, että näissä tapauksissa ei vielä ole kyse toimeksiannosta tapahtuvasta tietojenkäsittelystä. Jos asiakkaat pyytävät tallennustilaa web-hosterilta, he vain vuokraavat kolmannen osapuolen tietojenkäsittelylaitteita. Käyttäjä päättää, mitkä ohjelmat asennetaan ja mitkä henkilökohtaiset tiedot tallennetaan. Toisessa näkemyksessä oletetaan, että tietojenkäsittely on tilattu vain, jos verkkoisäntä tekee varmuuskopiot ja tallentaa ne. Saksan tietosuojaviranomaiset huolehtivat tietojenkäsittelyn toimeksiannosta, kun verkkokauppa on isännöity. Loppujen lopuksi jokainen verkkokauppa tallentaa henkilötietoja.
EU:n asetukset toimeksiannosta tapahtuvasta tietojenkäsittelystä
Kuten edellä on jo selitetty, kirjallinen sopimus verkkopalvelun ylläpidosta on aina tarpeen, jos verkkopalvelun ylläpitäjä käsittelee tietoja toimeksiannosta. Tietosuojadirektiivi (direktiivi 95/46/EY) kattaa ryhmän, jota kutsutaan "henkilötietojen käsittelijöiksi". Euroopan unionin riippumaton neuvoa-antava elin, 29 artiklan mukainen tietosuojatyöryhmä, on kommentoinut verkkopalvelun ylläpitäjien roolia seuraavasti: "Verkkopalvelun ylläpitäjät ovat asiakkaidensa Internetissä julkaisemien henkilötietojen käsittelijöitä". Verkkopalvelun ylläpitäjien kannalta on erittäin tärkeää, katsotaanko heidän palvelunsa toimeksiantona tapahtuvaksi tietojenkäsittelyksi. Rikkomisen kauaskantoiset seuraukset voivat sisältää rikos- ja siviilioikeudellisia seuraamuksia. Verkkosivustojen ylläpitäjien olisi annettava asiakkailleen pääsy tietokeskuksiinsa, jos tietojenkäsittely on tilattu, jotta nämä voivat muodostaa kuvan organisatorisista ja teknisistä toimenpiteistä. Siksi ei ole yllättävää, että useimmat web-hosterit eivät pidä itseään BDSG:n 11 §:ssä tarkoitettuna valtuutettuna tietojenkäsittelijänä. BDSG:n rikkomisesta voi rangaista tietosuojaa valvova viranomainen 43 I §:n 2b i.V.m. kohdan mukaisesti. § 43 III BDSG, ja sakko on enintään 50 000 euroa. Kysymystä siitä, onko web-hosting toimeksiantona tapahtuvaa tietojenkäsittelyä, ei voida tällä hetkellä selvittää sataprosenttisesti. Koska kirjallisuudessa on esitetty erilaisia mielipiteitä, mutta oikeuskäytännössä ei ole vielä tehty asiaa koskevia päätöksiä, web-hosting-palvelujen päättäminen mahdollisesta tietojenkäsittelyn tilaamisesta on tällä hetkellä oikeudellisesti harmaa alue. Koska verkkokauppojen ylläpitäjät, joiden verkkokauppaa isännöi webhosters isännöi joihin valtuutettu tietojenkäsittely yleensä vaikuttaa, niiden olisi jatkuvasti seurattava oikeudellista kehitystä. Verkkosivustojen ylläpitäjien, jotka haluavat pelata varman päälle, olisi hankittava esimerkkisopimuksia toimeksiantosuhteisesta tietojenkäsittelystä, jotta heillä olisi jotain näytettävää epäselvyyksien varalta. Asiakkaiden tulisi ottaa yhteyttä web-isäntäänsä, jos he ovat epävarmoja, ja kysyä neuvoa omassa tapauksessaan.