Aufsichtsbehörden prüfen Auftragsverarbeitungsverträge von Webhostern

Prüfung AVV

Auch beim Thema Auftragsverarbeitung gibt es wiederkehrende datenschutzrechtliche Fragen. Darf ein Auftragsverarbeiter bspw. für die Erstellung und Pflege eines Vertrages nach Art. 28 DS-GVO ein Entgelt verlangen und in welchem Umfang wäre das ggf. angemessen? Das BayLDA hatte sich zu dieser Frage bereits vor Geltung der DS-GVO (§ 11 BDSG-alt) geäußert. Die klare Antwort der Aufsichtsbehörde war damals , dass es sich dabei um keine datenschutzrechtliche Frage handelt, sondern um eine Frage, die zivilrechtlich zu lösen ist. In Konsequenz äußerte sich die Aufsichtsbehörde damals nicht zu einer etwaigen Höhe einer Vergütung (7. Tätigkeitsbericht des BayLDA für die Jahre 2015/2017, S. 40).

Manchmal sind die Fragen rund um die Auftragsverarbeitung sogar noch genereller. Handelt es sich bspw. bei jedem Hosting einer Webseite automatisch um eine Auftragsverarbeitung?
Auch dazu hat sich das BayLDA bereits in einer FAQ geäußert. Nur in seltenen Fällen, wie dem auf das das BayLDA in einer FAQ eingeht, wird es sich bei einem Webhosting um keine Auftragsverarbeitung handeln. In de Regel werden personenbezogene Daten der Webseiten-Besucher verarbeitet und die Verarbeitung erfolgt im Auftrag des Verantwortlichen, also des Seitenbetreibers, so dass der Webhoster datenschutzrechtlich als ein Auftragsverarbeiter zu bertrachten ist. Der konkrete Rahmen für diese weisungsgebundene Tätigkeit muss dann zwischen dem Betreiber der Internetseite und der Webhoster einen spezifischen Vertrag festgelegt werden. Die DS-GVO beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.

Aktuell haben sich einige Datenschutz-Aufsichtsbehörden zusammengeschlossen um genau diese Auftragsverarbeitungsvereinbarungen einer genaueren Prüfung zu unterziehen. An der koordinierten Prüfung sind die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­land-Pfalz, Sach­sen, Sach­sen-Anhalt und Bay­ern beteiligt.

Lobenswerterweise stellen die Aufsichtsbehörden die für diese Prüfung gemeinsam erstellte Checkliste der Öffentlichkeit zur Verfügung, so dass alle Verantwortlichen, aber auch alle Dienstleister/Auftragsverarbeiter, die solche Dienste anbieten, die Möglichkeit haben, ihre Vereinbarungen zur Auftragsverarbeitung einer Selbstkontrolle unterziehen können, in dem sie die Checkliste der Aufsichtsbehörden gegen ihre eigenen Musterverträge prüfen.

Dazu Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Mit unserer heute beginnenden Prüfung von AV-Verträgen reagieren wir auf viele Anfragen von Berliner Unternehmen und anderen Organisationen. Immer wieder berichten sie uns von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern. Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Die Checkliste und die Ausfüllhinweise sind wie folgt abrufbar:
1. Checkliste Prüfung AVV
2. Hinweise zur Nutzung der Checkliste Prüfung AVV

(Foto: Funtap – stock.adobe.com)



Letztes Update:21.07.22

  • Online-Schulung: Websites datenschutzkonform gestalten

    Online-Schulung: Websites datenschutzkonform gestalten

    Online-Schulung

    574.20 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    574.20 € Mehr erfahren
  • VW Kamerafahrt

    Millionen-Bußgeld wegen nicht datenschutzkonformer Forschungsfahrten

    Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen die Volkswagen Aktiengesellschaft eine Geldbuße nach Art. 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1,1 Millionen Euro festgesetzt. Nach Angabe der LfD Niedersachsen sind Ursache des Bußgelds mehrere Verstöße gegen datenschutzrechtliche Bestimmungen in Zusammenhang mit dem Einsatz eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von

    Mehr erfahren
  • Wächter-Modus Tesla

    „Wächter-Modus“ von Tesla-Fahrzeugen in der Kritik

    Die Firma Tesla bewirbt ihre Fahrzeuge unter anderem damit, dass diese mehrere erweiterte Schutzfunktionen bieten, die einfach zu aktivieren sind. Über das Touchscreen des Fahrzeugs wird dem Fahrer bspw. Zugriff über „Fahrzeug“> „Sicherheit“ auf die einzelnen Funktionen gewährt, um sie einzuschalten.Eines dieser Funktionen ist der sog. „Wächter-Modus“, den Tesla auf seiner Webseite wie folgt beschreibt:„Der

    Mehr erfahren
  • Betroffenenrechte

    Handlungsoptionen und Erfolgsaussichten für Betroffene von Datenschutzverstößen

    Die Einführung der DS-GVO geht mit einer bewussten Stärkung der Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betroffenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzelansprüchen vor allem die

    Mehr erfahren