Veel webhosters en mensen die gebruik maken van hostingdiensten hebben de wettelijke voorschriften nog niet in detail behandeld. Zodra er gebruik wordt gemaakt van de diensten van een webhost, kan het nodig zijn om een schriftelijke overeenkomst te sluiten. Dit geldt vooral als aan de eisen van § 11 BDSG wordt voldaan. De wettelijke regeling bepaalt dat bij het uitbesteden van de verwerking van persoonsgegevens bepaalde inhoud schriftelijk moet worden overeengekomen en vastgelegd. Wij zullen u informeren over de inhoud van de overeenkomst en de mogelijke gevolgen van niet-naleving.
§ 11 BDSG - Webhosting gedeeltelijk alleen mogelijk met schriftelijke toestemming
Webhosting wordt nu door tal van serviceproviders aangeboden. Vaak zijn slechts een paar klikken voldoende om een WordPress-blog, website of online shop te uploaden. De meeste webhosters zijn zich er niet van bewust dat webhosting een schriftelijke overeenkomst met de gebruiker vereist als er persoonlijke gegevens worden verwerkt tijdens de bestelling. Dit wordt voorgeschreven door § 11 BDSG (Bundesdatenschutzgesetz). Bij webhosting wordt een gebruiker door een provider voorzien van opslagruimte op een webserver. De omvang van de diensten varieert van eenvoudige middelen tot veelzijdige diensten zoals gegevensback-up, monitoring en statistische evaluaties. Indien de geleverde diensten verband houden met de opslag en verwerking van persoonsgegevens, moeten er schriftelijke afspraken worden gemaakt. Dit geldt met name als er sprake is van opdrachtgevende gegevensverwerking. Hieronder wordt verstaan het uitbesteden van de gegevensverwerking. De webhost is altijd gebonden aan de instructies van de klant, d.w.z. dat hij geen ruimte heeft om te beslissen of te evalueren met betrekking tot de verzonden gegevens.
De inhoud van § 11 BDSG (federale wet op de gegevensbescherming)
§ 11 I BDSG bepaalt dat de klant verantwoordelijk is voor de naleving van de bepalingen van de BDSG. De klant moet er onder meer voor zorgen dat de webhost de BDSG naleeft bij de verwerking van persoonsgegevens. Indien er schade optreedt, is deze voor rekening van de klant. De kosten kunnen worden verhaald op de webhoster bij wijze van schadevergoeding. § 11 II BDSG bepaalt dat de contractant (de webhoster) alle maatregelen op technisch en organisatorisch niveau zorgvuldig moet selecteren. Vervolgens wordt gesteld dat de wet voorschrijft dat het bevel uitsluitend schriftelijk moet worden gegeven. In de Contract De volgende punten dienen te worden opgemerkt:
- Onderwerp en duur van het contract
- Reikwijdte, doel en aard van de verzameling, de verwerking en het gebruik van persoonsgegevens
- Aard van de gegevens en de kring van de betrokkenen
- De organisatorische en technische maatregelen die moeten worden genomen in overeenstemming met § 9 BDSG
- Maatregelen voor het blokkeren, wissen en corrigeren van gegevens
- De verplichtingen van de contractant, bijvoorbeeld inspecties (gedefinieerd in § 11 IV BDSG)
- Eventuele vergunningen om onderaannemers in dienst te nemen
- Behoud van de controlerechten van de klant
- Verplichtingen van de aannemer om te tolereren en mee te werken
- Kennisgevingsverplichtingen van de aannemer en zijn onderaannemers in geval van overtreding van de beschermende voorschriften met betrekking tot
persoonlijke gegevens
- Omvang van de bevoegdheid van de opdrachtgever om instructies te geven aan de opdrachtnemer (webhost)
- Het verwijderen van gegevens na voltooiing van de bestelling en het terugsturen van de verstrekte gegevensdragers
In het geval van overheidsinstanties kan een overeenkomst worden gesloten met de technische toezichthoudende autoriteit. Alvorens de gegevensverwerking uit te besteden, moet deze autoriteit zich informeren over de technische en organisatorische normen en deze regelmatig controleren. De resultaten moeten worden geregistreerd. § § 11 van het Bundesdatenschutzgesetz bepaalt dat de opdrachtnemer, d.w.z. de webhost, de opdrachtgever onmiddellijk op de hoogte moet stellen, zodra de instructies van de opdrachtgever naar zijn mening in strijd zijn met de wetten op de gegevensbescherming. Voor personen die gebruik maken van de diensten van webhosters rijst de schuldvraag. Kenmerkend voor de gegevensverwerking in opdracht is immers dat de verplichting om aan de wettelijke bepalingen te voldoen bij de gebruiker blijft liggen en niet bij de webhost, ook al voert de webhost de verwerking van de persoonsgegevens uit. De zorgvuldigheidsplicht ontstaat al voordat de bestelling wordt geplaatst: Gebruikers zijn verplicht zich te overtuigen van de technische kwaliteiten van hun toekomstige webhoster. Deze zorgplicht geldt ook tijdens de contractuele relatie. De belangrijkste eis is nog steeds dat de opdracht voor de gegevensverwerking schriftelijk moet worden gegeven. Een schriftelijke overeenkomst veronderstelt dat de webhoster en de gebruiker het contract ondertekenen. Het indienen van een online formulier of een bestelling per e-mail is niet voldoende. Bovendien moet de overeenkomst de bovengenoemde punten (tien eisen) bevatten, zodat de overeenkomst voldoet aan de eisen van § 11 BDSG.
De BDSG in verband met webhosting
Of er bij webhosting sprake is van in opdracht gegeven gegevensverwerking conform § 11 BDSG en of er daadwerkelijk een schriftelijke overeenkomst nodig is, wordt anders beoordeeld. Sommige rechtsgeleerden zijn van mening dat in opdracht gegeven gegevensverwerking altijd aanwezig is als geheugenruimte en computerkracht door een derde partij worden opgeëist. Bij webhosting gaat het dus altijd om de verwerking van gegevens in opdracht. De redenering hierachter is dat de fysieke controle van de gegevens aanzienlijke mogelijkheden biedt om de gegevensverwerking te beïnvloeden. Volgens deze visie wordt de in opdracht gegeven gegevensverwerking altijd gegeven wanneer de gegevensverwerkingssystemen kunnen worden beïnvloed. Dit geldt des te meer als de webhost taken op het gebied van monitoring en onderhoud overneemt. Andere rechtsgeleerden gaan ervan uit dat er in deze gevallen nog geen sprake is van gegevensverwerking in opdracht. Als klanten opslagruimte nodig hebben bij een webhost, huren ze alleen externe gegevensverwerkingssystemen. De gebruiker beslist welke programma's worden geïnstalleerd en welke persoonlijke gegevens worden opgeslagen. De tweede weergave accepteert de verwerking van de bestelgegevens alleen als de webhoster back-ups maakt en deze bewaart. De toezichthoudende instanties voor gegevensbescherming in Duitsland aanvaarden de in opdracht gegeven gegevensverwerking wanneer een onlineshop wordt gehost. Bij elke online shop worden immers persoonlijke gegevens opgeslagen.
Europese regelgeving voor de verwerking van gegevens in opdracht
Zoals reeds is uiteengezet, is een schriftelijke overeenkomst voor webhosting altijd noodzakelijk indien de webhost opdracht geeft tot gegevensverwerking. De gegevensbeschermingsrichtlijn (Richtlijn 95/46/EG) heeft betrekking op een groep die "verwerkers" wordt genoemd. Het onafhankelijke adviesorgaan van de Europese Unie, de "Groep artikel 29", heeft over de rol van webhosts het volgende opgemerkt: "Webhosts zijn verwerkers van persoonsgegevens die door hun klanten op het internet worden gepubliceerd". Voor webhosts is het van enorm belang of hun diensten worden beschouwd als gegevensverwerking in opdracht. De verstrekkende gevolgen van een inbreuk kunnen strafrechtelijke en civielrechtelijke sancties zijn. Webhosts zouden hun klanten toegang moeten verlenen tot hun datacentra in geval van in opdracht gegeven gegevensverwerking, zodat zij zich een beeld kunnen vormen van de organisatorische en technische maatregelen. Het is dan ook niet verwonderlijk dat de meeste webhosters zichzelf niet beschouwen als opdrachtgevende gegevensverwerkers in de zin van § 11 BDSG. Overtredingen van de BDSG kunnen worden bestraft door de toezichthoudende autoriteit voor gegevensbescherming overeenkomstig § 43 I nr. 2b i.V.m. § 43 III BDSG met een boete van maximaal 50.000 euro. De vraag of webhosting een in opdracht gegeven gegevensverwerking is, kan momenteel niet voor 100 procent worden opgehelderd. Aangezien er in de literatuur verschillende meningen bestaan, maar de jurisprudentie hierover nog geen uitspraken heeft gedaan, is de conclusie van webhostingdiensten op het potentiële gebied van gegevensverwerking in opdracht momenteel een juridisch grijs gebied. Aangezien winkeliers die hun online shop laten hosten door webhosters gastheer Indien de betrokkenen die waarschijnlijk worden getroffen door de verwerking van persoonsgegevens in het kader van een contract niet op de hoogte zijn van de juridische ontwikkelingen, dienen zij deze permanent te volgen. Webhosters die aan de veilige kant willen zijn, moeten modelcontracten voor gegevensverwerking in opdracht krijgen, zodat ze in geval van twijfel iets kunnen laten zien. Klanten moeten contact opnemen met hun webhost in geval van onzekerheid en in individuele gevallen advies inwinnen.