Webhosts bevinden zich in sommige situaties in een lastig parket. Zij moeten hun contractuele verplichtingen tegenover hun klanten nakomen, wier Gegevens en IP-adressen aan overheidsinstanties onder bepaalde omstandigheden. Dit is met name het geval bij wetshandhavingsinstanties. Wij zullen u uitleggen wanneer webhosts gegevens moeten doorgeven en aan welke verplichtingen zij moeten voldoen bij de opslag van persoonsgegevens!
Moeten webhosters de IP-adressen van hun klanten bekendmaken?
Webhosters zijn onderworpen aan verschillende verplichtingen en moeten zich af en toe bezighouden met de vraag of ze persoonlijke gegevens van hun klanten moeten bekendmaken. In principe geldt een dergelijke verplichting alleen als de klanten van de webhoster illegale inhoud hebben gedeponeerd. Een overdracht van gegevens hoeft alleen plaats te vinden als er een gerechtelijk bevel beschikbaar is. De rechtsgrondslag wordt in veel gevallen gevormd door het beginsel van goede trouw, § 242 BGB. Of er een informatieplicht bestaat, moet in elk afzonderlijk geval worden gecontroleerd. In een juridisch geschil in Bamberg heeft de rechtbank bijvoorbeeld besloten dat anonimiseringsdiensten niet verplicht zijn om informatie over IP-adressen en andere klantgegevens te verstrekken als er slechts een klein vergrijp is gepleegd. Webhosters letten er goed op of ze al dan niet klantgegevens moeten doorgeven. Enerzijds wordt de ernst of populariteit van de webhoster ondermijnd, wat leidt tot minder klanten en een stagnerende verkoop. Aan de andere kant vrezen webhosters dat zij door hun klanten zullen worden aangeklaagd wegens schending van contractuele verplichtingen. Hoewel webhosters niet deelnemen aan de evenementen, afgezien van het beschikbaar stellen van middelen, bevinden zij zich tussen de fronten en lopen zij het risico door beide partijen scherp te worden aangevallen.
Webhosting en persoonlijke gegevens
Bij het gebruik van webhosters worden tal van persoonlijke gegevens opgeslagen. De rechtsgrondslag voor de verzameling, de verwerking en het gebruik van de gegevens komt voort uit de wet op de gegevensbescherming voor telediensten (TDDSG) en het staatsverdrag inzake mediadiensten (MDStV). Het verlenen van toegang tot het internet en e-maildiensten is een telecommunicatiedienst, wat betekent dat de Telecommunicatiewet (TKG) van toepassing is. Er worden verschillende persoonlijke gegevens verzameld van webhosts. Dit omvat verbinding, inventaris, gebruik, inhoud en factureringsgegevens. Persoonsgegevens moeten altijd worden doorgegeven aan een overheidsinstantie als de webhoster de juiste rechtsgrondslag heeft gekregen. Indien deze laatste niet aan het verzoek voldoet, worden er gerechtelijke uitspraken gedaan. Zodra de aanvraag is ingediend, moeten de webhosters eraan voldoen, d.w.z. dat ze bijvoorbeeld de controle van een e-mailbox mogelijk maken. Webhosters hoeven de inhoudelijke eisen van een bestelling niet te controleren. Zij zijn echter verplicht zich ervan te overtuigen dat aan de formele eisen is voldaan. Als er strafrechtelijke vervolgingsautoriteiten bij betrokken zijn, moeten de webhosters de desbetreffende orders uitvoeren en eventuele controles ondersteunen. Als het om geheime diensten gaat, hebben webhosters het recht om informatie te verstrekken, maar zijn zij daartoe in geen geval verplicht.
Basisinformatie over gegevensopslag, voorraadgegevens en gebruiksgegevens
Webhosts beschikken over verschillende persoonlijke gegevens van hun gebruikers. Inventarisgegevens zijn gegevens die worden gebruikt om contracten op te stellen, te structureren of te wijzigen. Webhosters slaan regelmatig naam en adres op, E-mailtelefoonnummer, geboortedatum, bankgegevens of creditcardnummer, gebruikers-ID en IP-adres. Welke inventarisgegevens in individuele gevallen worden verzameld, verwerkt en gebruikt, hangt af van het technische ontwerp van de webhoster en van de individuele contracten. Inventarisgegevens mogen alleen worden verzameld als het verzamelen ervan absoluut noodzakelijk is voor de webhost. De webhost moet de gegevens dus nodig hebben om zijn contractuele verplichtingen na te komen. In de regel worden inventarisgegevens alleen verzameld voor betaalde webhostingdiensten. In het geval van gratis diensten worden e-mailadressen af en toe opgeslagen. Volgens § 35 II nr. 3 BDSG De inventarisgegevens moeten worden verwijderd zodra de contractuele relatie wordt beëindigd, er zijn geen postcontractuele claims en er is geen noodzaak om de gegevens op te slaan. Gegevens voor telecommunicatiediensten moeten na beëindiging van het contract volgens § 5 III S.1 TDSV aan het einde van het volgende kalenderjaar worden verwijderd. Uitzonderingen vloeien voort uit § 35 III BDSG, volgens welke persoonlijke gegevens permanent moeten worden opgeslagen als ze onderworpen zijn aan de wettelijke opslagwetgeving. In een dergelijk geval worden de gegevens afzonderlijk opgeslagen voor de vervulling van de documentatieverplichting en gescheiden van de voorraad operationele gegevens. Gebruiksgegevens zijn gegevens die nodig zijn om webhostingdiensten mogelijk te maken en te factureren, zie § 6 I TDDSG en § 19 II MDStV. Gebruiksgegevens dienen om gebruikers te identificeren, om het begin en het einde van de diensten vast te leggen en als informatie over de gebruikte diensten. Het belang van gebruiksgegevens is immens groot. In tegenstelling tot de verbindingsgegevens geeft het niet alleen aan wie op welk moment met wie communiceerde: Gebruiksgegevens laten ook zien welke inhoud is verzonden.
Schrappingstermijnen en andere gegevens
Volgens § 6 IV mogen TDDSG webhosters na afloop van het webhostingcontract gebruiksgegevens gebruiken en verwerken, als deze nodig zijn voor de facturering. Alle andere gegevens moeten zo snel mogelijk worden verwijderd, zie § 19 V MDStV. Factureringsgegevens zijn gebruiksgegevens die worden gebruikt voor de facturering. Deze worden meestal verkregen uit de inventarisatiegegevens. In het algemeen moeten alle gebruikte gegevens en IP-adressen aan de overheid worden doorgegeven. Dit is echter alleen nodig als er een gerechtelijk bevel beschikbaar is.
