Många webbhotell och personer som använder webbhotellstjänster har ännu inte tagit del av de rättsliga bestämmelserna i detalj. Så snart du använder dig av en webbhotells tjänster kan det vara nödvändigt att ingå ett skriftligt avtal. Detta gäller särskilt om kraven i § 11 BDSG är uppfyllda. I den rättsliga regleringen anges att vissa delar måste avtalas och registreras skriftligen när behandlingen av personuppgifter läggs ut på entreprenad. Vi informerar dig om avtalets innehåll och eventuella konsekvenser av att avtalet inte följs.
§ 11 BDSG - Webbhotell delvis endast möjligt med skriftligt avtal
Webbhotell erbjuds numera av många tjänsteleverantörer. Ofta räcker det med några få klick för att ladda upp en WordPress-blogg, en webbplats eller en nätbutik. De flesta webbhotell känner inte till att webbhotell kräver ett skriftligt avtal med användaren om personuppgifter behandlas under beställningen. Detta krävs enligt § 11 BDSG (Federal Data Protection Act). Med webbhotell får användaren lagringsutrymme på en webbserver av en leverantör. Tjänsterna sträcker sig från att bara tillhandahålla resurser till mångsidiga tjänster som säkerhetskopiering av data, övervakning och statistiska utvärderingar. Om de tjänster som tillhandahålls inbegriper lagring och behandling av personuppgifter måste skriftliga avtal ingås. Detta gäller särskilt om det rör sig om uppdragsbehandling av uppgifter. Med detta menas outsourcing av databehandlingsförfaranden. Webbhotellet är alltid bundet av instruktioner till kunden, dvs. han har inget beslutsfattande eller bedömningsutrymme när det gäller de överförda uppgifterna.
Innehållet i § 11 BDSG (federal dataskyddslag)
I § 11 I BDSG anges att kunden är ansvarig för att bestämmelserna i BDSG följs. Kunden måste bland annat se till att webbhotellet följer BDSG när det behandlar personuppgifter. Om någon skada uppstår måste den betalas av kunden. Kostnaderna kan återkrävas från webbhotellet genom skadestånd. I § 11 II BDSG anges att entreprenören (webbhotellet) noggrant måste välja ut alla åtgärder på teknisk och organisatorisk nivå. Därefter anges att det enligt lagen är obligatoriskt att beställningen uteslutande görs skriftligen. I Kontrakt Följande punkter bör noteras:
- Avtalets syfte och varaktighet
- Omfattning, syfte och typ av insamling, behandling och användning av personuppgifter.
- Typ av uppgifter och grupp av registrerade
- De organisatoriska och tekniska åtgärder som ska vidtas i enlighet med § 9 i BDSG.
- Åtgärder för blockering, radering och rättelse av uppgifter
- Entreprenörens skyldigheter, t.ex. kontroller (definierade i § 11 IV BDSG).
- Eventuella tillstånd att anlita underleverantörer.
- Registrering av kundens kontrollrättigheter
- Entreprenörens skyldigheter att tolerera och samarbeta.
- Anmälningsplikt för entreprenören och dess underleverantörer vid överträdelse av skyddsbestämmelserna när det gäller följande
Personuppgifter.
- Omfattningen av beställarens befogenhet att utfärda instruktioner till entreprenören (webbhotellet).
- radering av uppgifter efter det att beställningen har slutförts och återlämnande av tillhandahållna databärare
När det gäller offentliga organ kan en överenskommelse träffas med tillsynsmyndigheten. Tillsynsmyndigheten måste få information om de tekniska och organisatoriska standarderna innan databehandlingen läggs ut på entreprenad och övervaka dem regelbundet. Resultaten måste registreras. I § 11 BDSG anges att entreprenören, dvs. webbhotellet, omedelbart måste informera kunden om att dennes instruktioner enligt hans uppfattning strider mot dataskyddslagarna. För personer som använder webbhotellens tjänster uppstår frågan om skuld. När det gäller uppdragsbehandling av uppgifter är det trots allt nästan typiskt att skyldigheten att följa de lagstadgade bestämmelserna fortfarande ligger hos användaren och inte hos webbhotellet, även om det är det senare som utför behandlingen av personuppgifter. Omsorgsplikten uppstår redan innan beställningen görs: Användarna är skyldiga att försäkra sig om den tekniska kvaliteten hos det potentiella webbhotellet. Dessa skyldigheter finns även under avtalsförhållandet. Det viktigaste kravet är fortfarande att beställningen om databehandling ska vara skriftlig. Ett skriftligt avtal kräver att webbhotell och användare skriver under avtalet. Det räcker inte att skicka in ett onlineformulär eller en uppgift via e-post. Dessutom måste avtalet innehålla de ovan nämnda punkterna (tio krav) för att avtalet ska uppfylla kraven i § 11 BDSG.
BDSG i samband med webbhotell
Huruvida webbhotell utgör beställd databehandling enligt § 11 i den tyska federala dataskyddslagen (BDSG) och huruvida ett skriftligt avtal faktiskt krävs bedöms på olika sätt. Vissa jurister anser att det alltid är fråga om uppdragsbehandling av uppgifter när lagringsutrymme och datorprestanda hos en tredje part används. Webbhotell utgör därför alltid beställd databehandling. Skälet till detta är att den fysiska kontrollen över uppgifterna ger upphov till betydande möjligheter att påverka behandlingen av uppgifterna. Enligt detta synsätt finns det alltid uppdragsbehandling av data om databehandlingssystemen kan påverkas. Detta gäller i ännu högre grad om webbhotellet tar över uppgifter inom övervakning och underhåll. Andra rättsvetare antar att det i dessa fall ännu inte finns någon uppdragsbehandling av uppgifter. Om kunderna begär lagringsutrymme från en webbhotell hyr de bara en tredjeparts databehandlingsutrustning. Användaren bestämmer själv vilka program som ska installeras och vilka personuppgifter som ska lagras. Enligt den andra åsikten kan databehandling endast ske på uppdrag om webbhotellet gör säkerhetskopior och lagrar dem. Dataskyddstillsynsmyndigheterna i Tyskland tar emot uppdragsbehandling av uppgifter när en webbutik är värd för en webbutik. Alla nätbutiker lagrar ju personuppgifter.
EU-förordningar om uppdragsbehandling av uppgifter
Som redan förklarats är ett skriftligt avtal om webbhotell alltid nödvändigt om webbhotellet har beställt databehandling. Dataskyddsdirektivet (direktiv 95/46/EG) omfattar en grupp som kallas "registerförare". Europeiska unionens oberoende rådgivande organ, artikel 29-gruppen, kommenterade webbhotellens roll: "Webbhotell är registeransvariga för personuppgifter som publiceras på Internet av deras kunder". För webbhotell är det av enorm betydelse om deras tjänster betraktas som beställd databehandling. De långtgående konsekvenserna av en överträdelse kan omfatta straffrättsliga och civilrättsliga påföljder. Webbhotell måste ge sina kunder tillgång till sina datacenter vid beställd databehandling så att de kan bilda sig en uppfattning om de organisatoriska och tekniska åtgärderna. Det är därför knappast förvånande att de flesta webbhotell inte betraktar sig själva som uppdragstagare i den mening som avses i avsnitt 11 i BDSG. Brott mot BDSG kan åtalas av tillsynsmyndigheten för dataskydd enligt § 43 I nr 2b i förening med § 43 III BDSG. § 43 III BDSG kan dömas till böter på upp till 50 000 euro. Frågan om huruvida webbhotell utgör beställd databehandling kan för närvarande inte klargöras till 100 procent. Eftersom det finns olika åsikter i litteraturen, men domstolarna ännu inte har fattat några beslut i detta avseende, är slutsatsen om webbhotellstjänster inom det potentiella området för beställd databehandling för närvarande en juridisk gråzon. Eftersom butiksoperatörer som har sin webbutik hos webbhotell med värdskap av Om ett webbhotell tenderar att påverkas av beställd databehandling bör det hålla ett vakande öga på den rättsliga utvecklingen. Webbhotell som vill vara på den säkra sidan bör skaffa sig exempel på avtal om beställd databehandling så att de har något att visa upp i tveksamma fall. Kunderna bör kontakta sitt webbhotell om de är osäkra och be om råd i enskilda fall.