Aufsichtsbehörden prüfen Auftragsverarbeitungsverträge von Webhostern

Prüfung AVV

Auch beim Thema Auftragsverarbeitung gibt es wiederkehrende datenschutzrechtliche Fragen. Darf ein Auftragsverarbeiter bspw. für die Erstellung und Pflege eines Vertrages nach Art. 28 DS-GVO ein Entgelt verlangen und in welchem Umfang wäre das ggf. angemessen? Das BayLDA hatte sich zu dieser Frage bereits vor Geltung der DS-GVO (§ 11 BDSG-alt) geäußert. Die klare Antwort der Aufsichtsbehörde war damals , dass es sich dabei um keine datenschutzrechtliche Frage handelt, sondern um eine Frage, die zivilrechtlich zu lösen ist. In Konsequenz äußerte sich die Aufsichtsbehörde damals nicht zu einer etwaigen Höhe einer Vergütung (7. Tätigkeitsbericht des BayLDA für die Jahre 2015/2017, S. 40).

Manchmal sind die Fragen rund um die Auftragsverarbeitung sogar noch genereller. Handelt es sich bspw. bei jedem Hosting einer Webseite automatisch um eine Auftragsverarbeitung?
Auch dazu hat sich das BayLDA bereits in einer FAQ geäußert. Nur in seltenen Fällen, wie dem auf das das BayLDA in einer FAQ eingeht, wird es sich bei einem Webhosting um keine Auftragsverarbeitung handeln. In de Regel werden personenbezogene Daten der Webseiten-Besucher verarbeitet und die Verarbeitung erfolgt im Auftrag des Verantwortlichen, also des Seitenbetreibers, so dass der Webhoster datenschutzrechtlich als ein Auftragsverarbeiter zu bertrachten ist. Der konkrete Rahmen für diese weisungsgebundene Tätigkeit muss dann zwischen dem Betreiber der Internetseite und der Webhoster einen spezifischen Vertrag festgelegt werden. Die DS-GVO beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.

Aktuell haben sich einige Datenschutz-Aufsichtsbehörden zusammengeschlossen um genau diese Auftragsverarbeitungsvereinbarungen einer genaueren Prüfung zu unterziehen. An der koordinierten Prüfung sind die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­land-Pfalz, Sach­sen, Sach­sen-Anhalt und Bay­ern beteiligt.

Lobenswerterweise stellen die Aufsichtsbehörden die für diese Prüfung gemeinsam erstellte Checkliste der Öffentlichkeit zur Verfügung, so dass alle Verantwortlichen, aber auch alle Dienstleister/Auftragsverarbeiter, die solche Dienste anbieten, die Möglichkeit haben, ihre Vereinbarungen zur Auftragsverarbeitung einer Selbstkontrolle unterziehen können, in dem sie die Checkliste der Aufsichtsbehörden gegen ihre eigenen Musterverträge prüfen.

Dazu Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Mit unserer heute beginnenden Prüfung von AV-Verträgen reagieren wir auf viele Anfragen von Berliner Unternehmen und anderen Organisationen. Immer wieder berichten sie uns von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern. Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Die Checkliste und die Ausfüllhinweise sind wie folgt abrufbar:
1. Checkliste Prüfung AVV
2. Hinweise zur Nutzung der Checkliste Prüfung AVV

(Foto: Funtap – stock.adobe.com)



Letztes Update:21.07.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren