Molti web hoster e persone che utilizzano i servizi di hosting non hanno ancora affrontato nel dettaglio le norme di legge. Non appena vengono utilizzati i servizi di un web host, può essere necessario stipulare un accordo scritto. Ciò vale soprattutto se sono soddisfatti i requisiti del § 11 BDSG. Il regolamento legale stabilisce che quando si esternalizza il trattamento dei dati personali, alcuni contenuti devono essere concordati e registrati per iscritto. Vi informeremo sul contenuto del contratto e sulle possibili conseguenze del mancato rispetto.
§ 11 BDSG - Web hosting possibile solo in parte con un accordo scritto
Il web hosting è ora offerto da numerosi fornitori di servizi. Spesso bastano pochi clic per caricare un blog WordPress, un sito web o un negozio online. La maggior parte dei web hoster non è a conoscenza del fatto che il web hosting richiede un accordo scritto con l'utente se i dati personali vengono trattati durante l'ordine. Ciò è prescritto dal § 11 BDSG (Legge federale sulla protezione dei dati). Con il web hosting, un utente dispone di uno spazio di archiviazione su un server web da parte di un provider. La gamma dei servizi va dalla semplice fornitura di risorse a servizi versatili come il backup dei dati, il monitoraggio e le valutazioni statistiche. Se i servizi forniti sono connessi alla conservazione e al trattamento dei dati personali, è necessario stipulare accordi scritti. Ciò vale in particolare se si tratta di un'elaborazione dei dati commissionata. Si intende l'esternalizzazione dell'elaborazione dei dati. L'host web è sempre vincolato alle istruzioni del cliente, ovvero non ha alcun margine di decisione o di valutazione in merito ai dati trasmessi.
Il contenuto del § 11 BDSG (Legge federale sulla protezione dei dati)
§ La sezione 11 I BDSG afferma che il cliente è responsabile del rispetto delle disposizioni della BDSG. Tra le altre cose, il cliente deve assicurarsi che il web host rispetti la BDSG nel trattamento dei dati personali. In caso di danni, questi sono a carico del cliente. I costi possono essere recuperati dall'hoster web a titolo di risarcimento. § La sezione 11 II BDSG afferma che il contraente (il web hoster) deve selezionare attentamente tutte le misure a livello tecnico e organizzativo. Successivamente, si afferma che è obbligatorio per legge che l'ordine sia messo esclusivamente per iscritto. Nel Contratto si devono osservare i seguenti punti:
- Oggetto e durata del contratto
- Ambito di applicazione, finalità e natura della raccolta, del trattamento e dell'utilizzo dei dati personali
- Natura dei dati e cerchia degli interessati
- Le misure organizzative e tecniche da adottare ai sensi del § 9 BDSG
- Misure di blocco, cancellazione e rettifica dei dati
- Gli obblighi del contraente, ad esempio le ispezioni (definite al § 11 IV BDSG)
- Eventuali autorizzazioni per l'impiego di subappaltatori
- Detenzione dei diritti di controllo del cliente
- Obblighi del contraente di tollerare e cooperare
- Obblighi di notifica dell'appaltatore e dei suoi subappaltatori in caso di violazione delle norme di protezione per quanto riguarda
dati individuali
- Portata dell'autorità del cliente di impartire istruzioni all'appaltatore (web host)
- La cancellazione dei dati dopo il completamento dell'ordine e la restituzione dei supporti dati forniti
Nel caso di enti pubblici, è possibile raggiungere un accordo con l'autorità tecnica di vigilanza. Prima di esternalizzare il trattamento dei dati, questa autorità deve informarsi sugli standard tecnici e organizzativi e controllarli regolarmente. I risultati devono essere registrati. § L'art. 11 della legge federale sulla protezione dei dati stabilisce che il mandatario, ossia l'host web, deve informare immediatamente il cliente non appena le istruzioni del cliente violano, a suo parere, le leggi sulla protezione dei dati. La questione della colpevolezza si pone per le persone che utilizzano i servizi dei webhosters. In fin dei conti, è caratteristico del trattamento dei dati commissionato che l'obbligo di rispettare le disposizioni di legge rimane a carico dell'utente e non del web host, anche se il web host effettua il trattamento dei dati personali. L'obbligo di diligenza si verifica già prima dell'ordine: Gli utenti sono obbligati a convincersi delle qualità tecniche del loro futuro web hoster. Questo obbligo di diligenza vale anche durante il rapporto contrattuale. Il requisito più importante è ancora che l'ordine per l'elaborazione dei dati debba essere effettuato per iscritto. Un accordo scritto presuppone che il web hoster e l'utente firmino il contratto. L'invio di un modulo online o di un ordine via e-mail non è sufficiente. Inoltre, l'accordo deve contenere i punti summenzionati (dieci requisiti) affinché l'accordo soddisfi i requisiti dell'articolo 11 della legge federale sulla protezione dei dati.
Il BDSG in relazione al web hosting
Se il web hosting comporta un'elaborazione dei dati commissionata ai sensi del § 11 BDSG e se è effettivamente necessario un accordo scritto viene giudicato in modo diverso. Alcuni studiosi di diritto ritengono che l'elaborazione dei dati commissionata sia sempre presente se lo spazio di memoria e la potenza del computer sono rivendicati da terzi. Di conseguenza, il web hosting comporta sempre un'elaborazione dei dati commissionata. Il ragionamento alla base di ciò è che il controllo fisico dei dati crea notevoli possibilità di influenzare l'elaborazione dei dati. Secondo questa visione, l'elaborazione dei dati commissionata viene sempre data se i sistemi di elaborazione dati possono essere influenzati. Ciò è tanto più vero se l'host web assume compiti di monitoraggio e manutenzione. Altri studiosi di diritto presumono che in questi casi il trattamento dei dati commissionato non esista ancora. Se i clienti hanno bisogno di spazio di memoria presso un web host, si limitano a noleggiare sistemi di elaborazione dati esterni. L'utente decide quali programmi vengono installati e quali dati personali vengono memorizzati. La seconda vista accetta l'elaborazione dei dati dell'ordine solo se l'hoster web effettua dei backup e li conserva. Le autorità di controllo della protezione dei dati in Germania accettano l'elaborazione dei dati commissionata quando un negozio online è ospitato. Dopotutto, i dati personali vengono memorizzati in ogni negozio online.
Normativa europea per l'elaborazione dei dati commissionati
Come già spiegato, un accordo scritto per il web hosting è sempre necessario se c'è un trattamento di dati commissionato da parte del web host. La direttiva sulla protezione dei dati (direttiva 95/46/CE) copre un gruppo denominato "processori". L'organo consultivo indipendente dell'Unione Europea, "Article 29 Working Party", ha commentato il ruolo dei web host: "I web host sono responsabili del trattamento dei dati personali pubblicati su Internet dai loro clienti". Per i web host, è di enorme importanza se i loro servizi sono considerati come trattamento di dati commissionato. Le conseguenze di vasta portata di una violazione potrebbero includere sanzioni penali e civili. Gli host web dovrebbero concedere ai loro clienti l'accesso ai loro centri dati in caso di trattamento dei dati commissionato, in modo che possano farsi un'idea delle misure organizzative e tecniche. Non è quindi sorprendente che la maggior parte dei web hoster non si consideri come un elaboratore di dati commissionato ai sensi del § 11 BDSG. Le violazioni della BDSG possono essere punite dall'autorità di controllo della protezione dei dati secondo il § 43 I No. 2b i.V.m. § 43 III BDSG con una multa fino a 50.000 euro. La questione se il web hosting costituisce un'elaborazione di dati commissionata non può essere attualmente chiarita al 100%. Dal momento che esistono diverse opinioni in letteratura, ma la giurisprudenza non ha ancora preso alcuna decisione in merito, la conclusione dei servizi di web hosting nella potenziale area di trattamento dei dati commissionati è attualmente una zona grigia legale. Dal momento che i gestori di negozi che hanno il loro negozio online ospitato da webhosters ospite Se gli interessati che potrebbero essere interessati dal trattamento dei dati personali in base al contratto non sono in grado di conoscere gli sviluppi giuridici, dovrebbero monitorarli in modo permanente. Gli hoster web che vogliono essere sicuri dovrebbero ottenere contratti modello per l'elaborazione dei dati commissionati, in modo da poter mostrare qualcosa in caso di dubbio. I clienti devono contattare il loro web host in caso di incertezza e chiedere consiglio nei singoli casi.