Webhosting wird inzwischen von zahlreichen Dienstleistern im Internet angeboten. Oft genügen ein paar Klicks, um eine Internetpräsenz auf gehostetem Speicherplatz zu veröffentlichen. Dabei ist selbst den Anbietern oft nicht bekannt, dass Webhosting eine schriftliche Vereinbarung nach § 11 BDSG erfordert, wenn dabei personenbezogene Daten im Auftrag verarbeitet werden.

UPDATE: Kostenlose Download-Möglichkeit von Musterverträgen.

Aber ist Webhosting tatsächlich Auftragsdatenverarbeitung?

Was ist Webhosting?

Wer sich im Internet präsentieren will, braucht Webspace. So wird der Speicherplatz auf einem Webserver genannt, auf den über das Internet zugegriffen werden kann. Webhosting bezeichnet das Bereitstellen von Webspace auf dem Webserver eines Internet Service Providers. Webhosting-Angebote gibt es inzwischen zahlreich im Internet. Dabei reicht der Leistungsumfang der Webhoster von der einfachen Bereitstellung von Ressourcen bis hin zu umfangreichen zusätzlichen Serviceleistungen, wie z. B. Monitoring, Datensicherung oder statistische Auswertungen.

Was ist Auftragsdatenverarbeitung?

Unter Auftragsdatenverarbeitung ist das Auslagern von Datenverarbeitungsprozessen auf externe Stellen zu verstehen, wobei der Auftragnehmer gegenüber dem Auftraggeber jedoch weisungsgebunden bleibt, d. h. keinen eigenen Wertungs- und Entscheidungsspielraum bezüglich der übermittelten Daten hat.

Klassische Auftragsdatenverarbeitungen sind z. B. die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung aus dem Unternehmen oder die Übertragung bestimmter Marketingmaßnahmen, wie etwa den Newsletter-Versand, an Direktmarketing-Agenturen.

Auftragsdatenverarbeitung im BDSG

Gesetzlich geregelt ist die Auftragsdatenverarbeitung in § 11 Bundesdatenschutzgesetz (BDSG). Die Vorschrift legt die datenschutzrechtlichen Rahmenbedingungen für das Outsourcing von Datenverarbeitungsprozessen fest.

In § 11 Abs. 1 BDSG heißt es:

„Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“

Charakteristisch für die Auftragsdatenverarbeitung ist demnach, dass der Auftraggeber in Bezug auf die verarbeiteten Daten stets selbst für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt.

Anforderungen des § 11 BDSG

Im Falle einer Auftragsdatenverarbeitung trifft den Auftraggeber bereits bei der Auswahl des Auftragnehmers eine Sorgfaltspflicht. Außerdem bestehen Kontroll- und Dokumentationspflichten hinsichtlich der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes vor und während der Dauer der Datenverarbeitung.

Wohl die wichtigste Anforderung ist jedoch, dass ein schriftlicher Auftrag für die Datenverarbeitung zu erteilen ist, d. h. es ist eine schriftliche Vereinbarung zwischen Auftraggeber und Auftragnehmer mit deren Unterschriften erforderlich. Das Ausfüllen eines Online-Formulars oder die Beauftragung per E-Mail sind also nicht ausreichend. Die Vereinbarung muss zudem insbesondere die in § 11 Abs. 2 Satz 2 BDSG aufgeführten zehn Punkte regeln.

Was gilt für Webhosting?

Ob oder vielmehr ab wann Webhosting eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG darstellt und demnach eine schriftliche Vereinbarung erfordert, wird in der Kommentarliteratur zum BDSG unterschiedlich beurteilt.

Pro Auftragsdatenverarbeitung

In Teilen der Literatur wird die Auffassung vertreten, schon bei der Inanspruchnahme fremder Rechnerleistung und Speicherplatz, also dem Kern des Webhosting-Geschäfts, liege regelmäßig eine Auftragsdatenverarbeitung vor:

Durch die physische Herrschaft über die genutzten Einrichtungen und den daraus resultierenden Einflussmöglichkeiten des Dienstleisters auf die Datenverarbeitung ist die Inanspruchnahme fremder Rechnerleistung und Speicherplatz regelmäßig ein Fall des § 11 BDSG.

Demnach genüge also die bloße Möglichkeit, auf die datenverarbeitenden Systeme einzuwirken, um von einer Auftragsdatenverarbeitung auszugehen. Dies gelte insbesondere dann, wenn der Dienstleister auch Überwachungs- und Wartungsaufgaben übernimmt.

Ebenso gelte dies für die Erbringung von Application-Services, also wenn sowohl Systemumgebung als auch Anwendungen bereitgestellt werden (z.B. Shop-Hosting).

Kontra Auftragsdatenverarbeitung

Einer anderen Auffassung zur Folge, liegt hingegen noch keine Auftragsdatenverarbeitung vor, wenn ein Rechenzentrum einem Kunden seine Anlage (ganz oder teilweise) zur Verfügung stellt und diese vom Kunden zur abgeschotteten Datenverarbeitung genutzt wird. Es handele sich hierbei allenfalls um eine Miete fremder Datenverarbeitungsanlagen, denn:

Der Kunde entscheidet allein und ausschließlich darüber, welche personenbezogenen Daten wann und in welcher Weise verarbeitet werden. Die Programme werden von ihm erstellt und eingesetzt.

Die bloße Nutzung fremder Ressourcen im Rahmen des Webhosting wäre demnach noch keine Auftragsdatenverarbeitung, sondern ein datenschutzrechtlich neutraler Vorgang.

Auftragsdatenverarbeitung liege dieser Ansicht nach aber dann vor, wenn der Dienstleister auch die Anfertigung von Sicherungskopien und deren Aufbewahrung übernehmen soll.

Ansicht der Aufsichtsbehörden

Die deutschen Datenschutz-Aufsichtsbehörden scheinen bei Webhosting zumindest dann von einer Auftragsdatenverarbeitung auszugehen, wenn auf dem gehosteten Speicherplatz ein Online-Shop betrieben wird, da über den Shop personenbezogene Daten verarbeitet werden.  Dies geht aus einer intern vorliegenden Korrespondenz hervor.

Ob die Aufsichtsbehörden diese Ansicht für jeden Fall des Webhostings vertreten, also auch wenn keine personenbezogenen Daten über die gehostete Internetpräsenz erhoben werden, ist unklar.

Geht man aber davon aus, dass sich die Behörden bei der Auslegung nationaler Regelungen, die auf europäischen Richtlinien basieren, an der Auslegung der entsprechenden Richtlinie orientieren, so erscheint dies sehr wahrscheinlich.

„Auftragsverarbeiter“ in der Datenschutz-Richtlinie

Die Datenschutz-Richtlinie (RL 95/46/EG), eine Richtlinie der Europäischen Gemeinschaft zum Schutz der Privatsphäre natürlicher Personen, auf der das BDSG in weiten Teilen basiert, enthält unter anderem Regelungen für sogenannte „Auftragsverarbeiter“.

Zum Begriff des „Auftragsverarbeiters“ in der Datenschutz-Richtlinie nahm die „Artikel-29-Datenschutzgruppe“, ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, wie folgt Stellung:

„Ein Internet-Diensteanbieter, der Hosting-Dienste bereitstellt, ist grundsätzlich ein Auftragsverarbeiter hinsichtlich der personenbezogenen Daten, die von seinen Kunden – die diesen Anbieter für das Hosting und die Wartung ihrer Websites einsetzen – online veröffentlicht werden.“ (Quelle)

Legt man diese Stellungnahme zugrunde, dürfte Webhosting in jedem Fall eine Datenverarbeitung im Auftrag darstellen.

Problematik für den Webhoster

Für die Anbieter von Webhosting-Diensten ist die Frage, ob es sich bei ihren Leistungen um Auftragsdatenverarbeitung im Sinne des § 11 BDSG handelt, mit weitreichenden Konsequenzen verbunden.

So wären sie von diversen Duldungs- und Mitwirkungspflichten in Bezug auf die Kontrollrechte des Auftraggebers betroffen. Der Auftraggeber könnte beispielsweise Zugang zum Rechenzentrum verlangen, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes zu überzeugen.

Es erscheint daher nicht verwunderlich, dass sich viele Anbieter nicht als Auftragsdatenverarbeiter im Sinne des § 11 BDSG sehen.

Drohende Sanktionen

Wer als Auftraggeber einen Auftrag nach § 11 BDSG nicht oder nicht in der vorgegebenen Weise erteilt oder sich vor Beginn der Datenverarbeitung nicht von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugt, handelt ordnungswidrig.

Verstöße können von den Datenschutz-Aufsichtsbehörden mit einer Geldbuße von bis zu 50.000 Euro belegt werden (§ 43 Abs. 1 Nr. 2b i.V.m. Abs. 3 BDSG).

Unser Tipp für Shopbetreiber

Die Frage, ob es sich bei Webhosting stets um Auftragsdatenverarbeitung im Sinne des § 11 BDSG handelt, lässt sich derzeit nicht abschließend beantworten. Die Meinungen in der Literatur gehen auseinander und Rechtsprechung hierzu ist (noch) nicht bekannt. Ebenso fehlen verbindliche Stellungnahmen der Aufsichtsbehörden.

Da die Behörden aber scheinbar dazu tendieren, Webhosting zumindest in Verbindung mit dem Betrieb eines Online-Shops als Auftragsdatenverarbeitung zu bewerten, sollten betroffene Shopbetreiber in jedem Fall die aktuelle rechtliche Entwicklung in diesem Bereich aufmerksam verfolgen und sich gebenenfalls mit ihrem Webhoster in Verbindung setzen. (lk)

UPDATE: Musterverträge

Da die Erstellung von Verträgen zur Auftragsdatenverarbeitung sehr aufwendig bzw. teuer ist, haben wir für Sie drei geeignete Stellen herausgesucht, bei denen man Musterverträge kostenlos downloaden kann:

  1. Mustervertrag vom BITKOM
  2. Mustervertrag von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
  3. Mustervertrag von Rechtsanwalt Stephan Hansen-Oest

Lesen Sie hier mehr zum Thema Datenschutz: