Aufsichtsbehörden prüfen Auftragsverarbeitungsverträge von Webhostern

Auch beim Thema Auftragsverarbeitung gibt es wiederkehrende datenschutzrechtliche Fragen. Darf ein Auftragsverarbeiter bspw. für die Erstellung und Pflege eines Vertrages nach Art. 28 DS-GVO ein Entgelt verlangen und in welchem Umfang wäre das ggf. angemessen? Das BayLDA hatte sich zu dieser Frage bereits vor Geltung der DS-GVO (§ 11 BDSG-alt) geäußert. Die klare Antwort der Aufsichtsbehörde war damals , dass es sich dabei um keine datenschutzrechtliche Frage handelt, sondern um eine Frage, die zivilrechtlich zu lösen ist. In Konsequenz äußerte sich die Aufsichtsbehörde damals nicht zu einer etwaigen Höhe einer Vergütung (7. Tätigkeitsbericht des BayLDA für die Jahre 2015/2017, S. 40).

Manchmal sind die Fragen rund um die Auftragsverarbeitung sogar noch genereller. Handelt es sich bspw. bei jedem Hosting einer Webseite automatisch um eine Auftragsverarbeitung?
Auch dazu hat sich das BayLDA bereits in einer FAQ geäußert. Nur in seltenen Fällen, wie dem auf das das BayLDA in einer FAQ eingeht, wird es sich bei einem Webhosting um keine Auftragsverarbeitung handeln. In de Regel werden personenbezogene Daten der Webseiten-Besucher verarbeitet und die Verarbeitung erfolgt im Auftrag des Verantwortlichen, also des Seitenbetreibers, so dass der Webhoster datenschutzrechtlich als ein Auftragsverarbeiter zu bertrachten ist. Der konkrete Rahmen für diese weisungsgebundene Tätigkeit muss dann zwischen dem Betreiber der Internetseite und der Webhoster einen spezifischen Vertrag festgelegt werden. Die DS-GVO beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.

Aktuell haben sich einige Datenschutz-Aufsichtsbehörden zusammengeschlossen um genau diese Auftragsverarbeitungsvereinbarungen einer genaueren Prüfung zu unterziehen. An der koordinierten Prüfung sind die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­land-Pfalz, Sach­sen, Sach­sen-Anhalt und Bay­ern beteiligt.

Lobenswerterweise stellen die Aufsichtsbehörden die für diese Prüfung gemeinsam erstellte Checkliste der Öffentlichkeit zur Verfügung, so dass alle Verantwortlichen, aber auch alle Dienstleister/Auftragsverarbeiter, die solche Dienste anbieten, die Möglichkeit haben, ihre Vereinbarungen zur Auftragsverarbeitung einer Selbstkontrolle unterziehen können, in dem sie die Checkliste der Aufsichtsbehörden gegen ihre eigenen Musterverträge prüfen.

Dazu Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Mit unserer heute beginnenden Prüfung von AV-Verträgen reagieren wir auf viele Anfragen von Berliner Unternehmen und anderen Organisationen. Immer wieder berichten sie uns von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern. Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“

Die Checkliste und die Ausfüllhinweise sind wie folgt abrufbar:
1. Checkliste Prüfung AVV
2. Hinweise zur Nutzung der Checkliste Prüfung AVV

(Foto: Funtap – stock.adobe.com)