Muitos web hosters e pessoas que utilizam serviços de hospedagem ainda não lidaram com as normas legais em detalhes. Assim que os serviços de um web host forem utilizados, poderá ser necessário fazer um acordo por escrito. Isto é especialmente verdadeiro se as exigências do § 11 BDSG forem atendidas. O regulamento legal estabelece que ao terceirizar o processamento de dados pessoais, certos conteúdos devem ser acordados e registrados por escrito. Nós o informaremos sobre o conteúdo do acordo e as possíveis conseqüências do não cumprimento.
§ 11 BDSG - Hospedagem Web só em parte possível com acordo por escrito
A hospedagem da web é agora oferecida por inúmeros prestadores de serviços. Muitas vezes, apenas alguns cliques são suficientes para carregar um blog, website ou loja on-line do WordPress. A maioria dos hosters da web não está ciente de que a hospedagem da web requer um acordo escrito com o usuário se os dados pessoais forem processados durante o pedido. Isto é prescrito pelo § 11 BDSG (Lei Federal de Proteção de Dados). Com a hospedagem web, um usuário recebe espaço de armazenamento em um servidor web por um provedor. O escopo dos serviços varia desde o simples fornecimento de recursos até serviços versáteis, como backup de dados, monitoramento e avaliações estatísticas. Se os serviços prestados estiverem ligados ao armazenamento e processamento de dados pessoais, devem ser feitos acordos por escrito. Isto se aplica em particular se o processamento de dados estiver envolvido. Isto é entendido como a terceirização do processamento de dados. O web host está sempre vinculado às instruções do cliente, ou seja, ele não tem espaço para decisão ou avaliação em relação aos dados transmitidos.
O conteúdo do § 11 da BDSG (Lei Federal de Proteção de Dados)
§ Seção 11 I BDSG declara que o cliente é responsável pelo cumprimento das disposições da BDSG. Entre outras coisas, o cliente deve assegurar-se de que o web host esteja em conformidade com o BDSG ao processar dados pessoais. Se ocorrerem danos, estes devem ser suportados pelo cliente. Os custos podem ser recuperados do hoster web por meio de uma compensação. § Seção 11 II BDSG declara que o contratante (o web hoster) deve selecionar cuidadosamente todas as medidas em nível técnico e organizacional. Posteriormente, é declarado que é obrigatório por lei que a ordem seja colocada exclusivamente por escrito. No Contrato os seguintes pontos devem ser observados:
- Objeto e duração do contrato
- Escopo, finalidade e natureza da coleta, processamento e uso de dados pessoais
- Natureza dos dados e círculo dos sujeitos dos dados
- As medidas organizacionais e técnicas a serem tomadas de acordo com o § 9 BDSG
- Medidas de bloqueio, apagamento e retificação de dados
- As obrigações do contratante, por exemplo, inspeções (definidas no § 11 IV BDSG)
- Qualquer autorização para empregar subempreiteiros
- Detenção dos direitos de controle do cliente
- Obrigações do empreiteiro de tolerar e cooperar
- Obrigações de notificação do contratante e de seus subcontratantes em caso de violação das normas de proteção com relação a
dados individuais relacionados
- Escopo da autoridade do cliente para emitir instruções para o contratante (web host)
- A eliminação dos dados após a conclusão do pedido e a devolução dos suportes de dados fornecidos
No caso de órgãos públicos, pode-se chegar a um acordo com a autoridade de supervisão técnica. Antes de terceirizar o processamento de dados, esta autoridade deve se informar sobre as normas técnicas e organizacionais e verificá-las regularmente. Os resultados devem ser registrados. § A seção 11 da Lei Federal de Proteção de Dados estabelece que o contratante, ou seja, o anfitrião da web, deve informar o cliente imediatamente assim que as instruções do cliente violarem as leis de proteção de dados em sua opinião. A questão da culpa surge para as pessoas que utilizam os serviços dos webhosters. Afinal, é característico do processamento de dados encomendado que a obrigação de cumprir as disposições estatutárias continue a recair sobre o usuário e não sobre o web host, mesmo que o web host realize o processamento de dados pessoais. O dever de cuidado já ocorre antes que o pedido seja feito: Os usuários são obrigados a se convencerem das qualidades técnicas de seu futuro web hoster. Este dever de cuidado também se aplica durante a relação contratual. O requisito mais importante ainda é que o pedido de processamento de dados deve ser feito por escrito. Um acordo por escrito pressupõe que o web hoster e o usuário assinem o contrato. A apresentação de um formulário on-line ou de um pedido por e-mail não é suficiente. Além disso, o acordo deve conter os pontos acima mencionados (dez requisitos) para que o acordo atenda aos requisitos da Seção 11 da Lei Federal de Proteção de Dados.
O BDSG em conexão com a hospedagem web
Se a hospedagem da web envolve o processamento de dados comissionados de acordo com o § 11 BDSG e se um acordo por escrito é realmente necessário é julgado de forma diferente. Alguns estudiosos do direito são da opinião que o processamento de dados encomendado está sempre presente se o espaço de memória e o poder do computador forem reclamados por terceiros. Assim, a hospedagem na web sempre envolve o processamento de dados comissionados. O raciocínio por trás disto é que o controle físico dos dados cria possibilidades consideráveis para influenciar o processamento de dados. De acordo com este ponto de vista, o processamento de dados em regime de comissão é sempre dado quando os sistemas de processamento de dados podem ser influenciados. Isto é ainda mais verdadeiro se o web host assumir tarefas na área de monitoramento e manutenção. Outros estudiosos do direito assumem que o processamento de dados encomendado ainda não existe nestes casos. Se os clientes precisam de espaço de armazenamento em um host web, eles simplesmente alugam sistemas externos de processamento de dados. O usuário decide quais programas são instalados e quais dados pessoais são armazenados. A segunda visão aceita um processamento de dados de pedido somente se o hoster da web fizer backups e os guardar. As autoridades de supervisão de proteção de dados na Alemanha aceitam o processamento de dados encomendado quando uma loja on-line é hospedada. Afinal de contas, os dados pessoais são armazenados em todas as lojas on-line.
Regulamentação européia sobre o processamento de dados encomendado
Como já explicado, é sempre necessário um acordo por escrito para hospedagem na web se houver processamento de dados por parte do web host. A Diretiva de Proteção de Dados (Diretiva 95/46/CE) abrange um grupo denominado "processadores". O órgão consultivo independente da União Européia, "Grupo de Trabalho do Artigo 29", comentou sobre o papel dos web hosts: "Os web hosts são processadores de dados pessoais publicados na Internet por seus clientes". Para os hosts web, é de enorme importância se seus serviços são considerados como processamento de dados comissionados. As conseqüências de longo alcance de uma violação poderiam incluir sanções criminais e civis. Os anfitriões da Web teriam que conceder a seus clientes acesso a seus centros de dados no caso de processamento de dados comissionados, para que eles possam formar uma imagem das medidas organizacionais e técnicas. Portanto, não é surpreendente que a maioria dos hosters da web não se considerem processadores de dados comissionados, no sentido do § 11 BDSG. As violações do BDSG podem ser punidas pela autoridade supervisora de proteção de dados de acordo com o § 43 I No. 2b i.V.m. § 43 III BDSG com uma multa de até 50.000 euros. A questão de saber se a hospedagem na web constitui um processamento de dados comissionado não pode ser esclarecida atualmente 100%. Como existem várias opiniões na literatura, mas a jurisprudência ainda não tomou nenhuma decisão a esse respeito, a conclusão de serviços de hospedagem na web na área potencial de processamento de dados comissionados é atualmente uma área cinza legal. Desde que os operadores de lojas que têm sua loja on-line hospedada por webhosters anfitrião Se os sujeitos de dados que provavelmente serão afetados pelo processamento de dados pessoais sob contrato não estiverem em condições de estar cientes dos desenvolvimentos legais, eles devem monitorá-los permanentemente. Os hosters da Web que querem estar no lado seguro devem obter contratos-modelo para o processamento de dados comissionados, para que possam mostrar algo em caso de dúvida. Os clientes devem entrar em contato com seu web host em caso de incerteza e procurar aconselhamento em casos individuais.