Berliner Datenschutzbehörde veröffentlicht Checkliste zur Prüfung von Auftragsdatenverarbeitungsverträge von Webhostern
Zahlreiche Unternehmen lassen ihre Webseiten und/oder Online-Shops auf externen Servern von Hosting-Anbietern laufen. Dieses Vorgehen ist eher die Regel als die Ausnahme, weil Webseiten und Online-Shops auf diese Weise kostengünstig und ohne viel Aufwand betrieben werden können. Da bei deren Besuch durch Nutzer persönliche Daten verarbeitet werden, treten die Webhoster ihren Kunden gegenüber als Auftragsverarbeiter auf.
Um den rechtlichen Rahmen dieser Auftragsverarbeitung festzulegen, müssen die Hosting-Dienstleister und mit ihren Kunden einen Auftragsdatenverarbeitungsvertrag (AVV) schließen. Existiert dieser Vertrag nicht oder entspricht er nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO), kann dies zu Problemen und hohen Abmahngebühren für Hosting-Kunden und -Anbieter gleichermaßen führen, weil beide gegenüber der Datenschutzbehörde ihres Landes auf deren Anfrage nachweisen können müssen, dass sie die Vorgaben des Datenschutzes erfüllen.
Landesübergreifende Prüfung der AVV von Webhostern angekündigt
In einer Pressemitteilung von 19.07.2022 kündigte die Berliner Beauftragte für Datenschutz und Informationsfreiheit nun an, die AVV von Berliner Webhostern prüfen zu wollen. Der Grund für die Prüfung ist eine Reaktion der Berliner Datenschutzbehörde auf zahlreiche Anfragen von Webhosting-Kunden, die angaben, dass die AVV ihrer Hosting-Anbieter nicht den aktuellen Anforderungen der DSGVO entsprechen. Häufig waren die Webhoster auf Anfrage dieser Kunden nicht bereit, ihre AVV zu ändern.
In den jeweiligen Einzelprüfungen kam die Berliner Datenschutzbehörde zu dem Schluss, dass die besorgten Kunden in vielen Fällen recht hatten. Daher wird nun die gesamte Branche genauer untersucht. Diese Prüfung beschränkt sich jedoch nicht nur auf Berlin. Sie ist vielmehr Teil einer koordinierten Prüfinitiative, an der sich auch die Datenschutzaufsichtsbehörden Bayerns, Niedersachsens sowie von Rheinland-Pfalz, Sachsen und Sachsen-Anhalt beteiligen.
AVV-Checkliste von Webhostern veröffentlicht
Die Prüfung wird auf der Grundlage einer Checkliste durchgeführt, die kostenlos auf der Webseite der BInBDI zugängig ist. Ihre Veröffentlichung soll die Anbieter und Nutzer von Hosting-Diensten dabei unterstützen, Ihre AVV DSGVO-konform zu gestalten – nicht zuletzt, um Problemen bei einer Prüfung durch Datenschutzbehörden vorzubeugen. Sie eignet sich jedoch auch für die Prüfung von AVV außerhalb des IT-Umfelds.
Zentrale Aussagen dieser Checkliste zu bisher kritischen Punkten sind unter anderem:
- Ein AVV kann in den AGB integriert sein.
- IM AVV müssen weder konkrete technische noch organisatorische Maßnahmen geregelt sein. Es reicht ein Hinweis auf die Einhaltung der erforderlichen Maßnahmen nach Art. 32 DSGVO. Die Verpflichtung des Auftraggebers zu prüfen, ob der Auftragnehmer die erforderlichen technischen und organisatorischen Maßnahmen auch umsetzt, besteht jedoch weiterhin.
- Ein Auftragnehmer kann die Kosten, die bei einer Prüfung durch den Auftraggeber entstehen, diesem in Rechnung stellen, sofern die Prüfung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes erforderlich ist.