Aufsichtsbehörden prüfen Auftragsverarbeitungsverträge von Webhostern

Prüfung AVV

Auch beim Thema Auftragsverarbeitung gibt es wiederkehrende datenschutzrechtliche Fragen. Darf ein Auftragsverarbeiter bspw. für die Erstellung und Pflege eines Vertrages nach Art. 28 DS-GVO ein Entgelt verlangen und in welchem Umfang wäre das ggf. angemessen? Das BayLDA hatte sich zu dieser Frage bereits vor Geltung der DS-GVO (§ 11 BDSG-alt) geäußert. Die klare Antwort der Aufsichtsbehörde war damals , dass es sich dabei um keine datenschutzrechtliche Frage handelt, sondern um eine Frage, die zivilrechtlich zu lösen ist. In Konsequenz äußerte sich die Aufsichtsbehörde damals nicht zu einer etwaigen Höhe einer Vergütung (7. Tätigkeitsbericht des BayLDA für die Jahre 2015/2017, S. 40).

Manchmal sind die Fragen rund um die Auftragsverarbeitung sogar noch genereller. Handelt es sich bspw. bei jedem Hosting einer Webseite automatisch um eine Auftragsverarbeitung?
Auch dazu hat sich das BayLDA bereits in einer FAQ geäußert. Nur in seltenen Fällen, wie dem auf das das BayLDA in einer FAQ eingeht, wird es sich bei einem Webhosting um keine Auftragsverarbeitung handeln. In de Regel werden personenbezogene Daten der Webseiten-Besucher verarbeitet und die Verarbeitung erfolgt im Auftrag des Verantwortlichen, also des Seitenbetreibers, so dass der Webhoster datenschutzrechtlich als ein Auftragsverarbeiter zu bertrachten ist. Der konkrete Rahmen für diese weisungsgebundene Tätigkeit muss dann zwischen dem Betreiber der Internetseite und der Webhoster einen spezifischen Vertrag festgelegt werden. Die DS-GVO beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.

Aktuell haben sich einige Datenschutz-Aufsichtsbehörden zusammengeschlossen um genau diese Auftragsverarbeitungsvereinbarungen einer genaueren Prüfung zu unterziehen. An der koordinierten Prüfung sind die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­land-Pfalz, Sach­sen, Sach­sen-Anhalt und Bay­ern beteiligt.

Lobenswerterweise stellen die Aufsichtsbehörden die für diese Prüfung gemeinsam erstellte Checkliste der Öffentlichkeit zur Verfügung, so dass alle Verantwortlichen, aber auch alle Dienstleister/Auftragsverarbeiter, die solche Dienste anbieten, die Möglichkeit haben, ihre Vereinbarungen zur Auftragsverarbeitung einer Selbstkontrolle unterziehen können, in dem sie die Checkliste der Aufsichtsbehörden gegen ihre eigenen Musterverträge prüfen.

Dazu Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Mit unserer heute beginnenden Prüfung von AV-Verträgen reagieren wir auf viele Anfragen von Berliner Unternehmen und anderen Organisationen. Immer wieder berichten sie uns von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern. Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Die Checkliste und die Ausfüllhinweise sind wie folgt abrufbar:
1. Checkliste Prüfung AVV
2. Hinweise zur Nutzung der Checkliste Prüfung AVV

(Foto: Funtap – stock.adobe.com)



Letztes Update:21.07.22

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren