Was macht ein Webhoster und braucht man immer einen Auftragsbearbeitungsvertrag nach der DSGVO?
Das Kerngeschäft eines Webhost-Dienstleisters ist die Vermittlung von Internet-Domains an den Kunden und deren Verwaltung. Unser Webhosting-Angebot umfasst zudem Rechnerkapazitäten auf Servern, welche an das Internet angebunden sind, sowie die Administration und Wartung dieser. Für diese Dienstleistungen ist grundsätzlich noch kein Auftragsverarbeitungsvertrag zwischen Ihnen als Kunden und uns als Webhoster nötig. Nehmen Sie keine weiteren Dienste von uns als Webhoster in Anspruch, erbringen wir keine Leistungen, welche personenbezogenen Daten von Ihnen als Kunden erfordern.
Allerdings bietet es sich zur Sicherheit immer an einen Datenaufbereitungsvertrag abzuschließen, da sich das Nutzungsverhalten ändern kann. Durch den Abschluss eines solchen Vertrages stehen Sie als Kunde und wir als Webhoster auf der sicheren Seite. Nehmen Sie bFlow noch für andere Aufgaben, wie dem Webdesign oder für das Onlinemarketing sowie die im nächsten Abschnitt beschriebenen Aufgaben in Anspruch, sind Sie dazu verpflichtet einen Vertrag zur Datenaufbereitung im Sinne der DSGVO mit uns abzuschließen.
Ab wann ist ein Vertrag zur Auftragsverarbeitung mit dem Webhoster nötig?
Grundsätzlich sollte man immer einen Auftragsverarbeitungsvertrag mit dem Webhoster abschließen, um bei etwaigen Veränderungen der Dienstleistungen auf der sicheren Seite zu stehen. Bereits IP-Adressen sind als personenbezogene Daten anzusehen und ohne diese ist der Aufruf einer Website nicht möglich. Werden die IP-Adressen nicht anonymisiert, kann in bestimmten Fällen auf Grund der IP-Adresse identifiziert werden, wer die „dahinterstehende“ Person ist. Tritt dies ein, muss vorab ein Auftragsverarbeitungsvertrag zwischen Kunden und Dienstleister geschlossen werden.
Laden Sie als Kunde zudem personenbezogene Daten auf den zu Verfügung gestellten Speicherplatz (zum Beginn ist dieser leer), ausschließlich für die von Ihnen als Kunden bestimmten Zwecke, dann kommt es auf dem Speicherplatz zur Verarbeitung personenbezogener Daten durch Sie als Kunden oder durch Kunden von Ihnen. Sobald wir als Webhoster Ihnen bei der Verarbeitung dieser Daten in irgendeiner Art helfen, wie z.B. durch die Bereitstellung von Backups, die Datenbank Reparatur, durch Umspeicherung oder Löschung von Daten, geschieht dies in der Regel für Sie als Kunden und nicht zu unseren eigenen Zwecken als Webhoster.
Der Kunde ist „Besitzer“ der Daten, während wir als Webhoster nur auf Weisung des Kunden handeln, für den wir Server bereitstellen oder andere Services nachgehen (in diesem Fall für Sie). Nach Art. 28 DSGVO sind wir als Webhoster dann „Auftragsdatenverarbeiter“. Ab diesem Zeitpunkt reicht der reine Webhosting Vertrag nach dem Gesetz zwischen Ihnen und uns nicht mehr aus.
Was sind personenbezogene Daten?
Personenbezogene Daten beschreiben nach Art. 4 Nr.1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar beschreibt, dass man eine natürliche Person direkt oder indirekt via Kennung (Name, Kennnummer, Standortdaten, Online-Kennung, mehrere besondere Merkmale, usw.) identifizieren kann, welche Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Nach Gesetz lautet diese Person „betroffene Person“.
Was bedeutet eigentlich die Verarbeitung personenbezogener Daten nach der DSGVO?
Dies beschreibt einen Vorgang (mit oder ohne Hilfe eines automatisierten Verfahrens) bzw. eine Vorgangsreihe, welcher im Zusammenhang mit personenbezogene Daten ausgeführt wird. Dazu zählt das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Sind die persönlichen Kundendaten auch betroffen?
Nein. Dies wiederum bezieht sich nicht auf die Daten, welche der Webhoster von Ihnen als Kunden erhebt (wie Anschrift, E-Mailadresse, usw.), um mit diesen den Webhosting-Vertrag zu schließen. In diesem Fall handelt der Webhoster für eigene Zwecke und es handelt sich nicht um die Auftragsverarbeitung nach Weisung des Kunden.
Webhosting = Auftragsverarbeitung (ADV, DSGVO)?
Nach vorherrschender Rechtsmeinung ist dies nicht der Fall. Bestellt der Kunde nur eine Internet-Domain, um seinen Mailserver zu betreiben, ohne dabei eine Datenbank anzulegen oder eine Website zu betreiben, handelt es sich nicht um Auftragsverarbeitung. Dies liegt daran, dass der Webhoster nur an das Internet angebundene Technik zur Verfügung stellt und keine Dienste, die einen Zugriff auf personenbezogene Dienste des Kunden erfordern. Gleiches gilt für einen Telefonsupport, welcher nur eine erklärende Anwendungsunterstützung sein soll. Dennoch bietet es sich auch in diesen Fällen immer an einen Auftragsverarbeitungsvertrag abzuschließen, falls sich das Nutzverhalten des Kundenverändert.
Da bei bFlow in der Regel auch Aufgaben zum Webdesign mitgebucht werden, muss immer ein Auftragsverarbeitungsvertrag abgeschlossen werden.
Inhalt des Auftragsverarbeitungsvertrags
Die Inhalte des Art. 28 DSGVO müssen in einem schriftlichen Vertrag festgehalten werden (möglich sind ein Vertrag in Papierform und elektronischer Art). Wenn Sie mit uns zusammenarbeiten möchten, bekommen Sie den Auftragsverarbeitungsvertrag von uns zugesendet. Der Vertrag regelt die Rechte und Pflichten von Ihnen als Auftraggeber und uns als Auftragnehmer. So soll u.a. gewährleistet werden, dass bFlow als Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die Sie, der Auftraggeber, die Daten erhoben haben und dass bFlow die Daten in entsprechendem Maße schützt. Ansonsten bleibt für Sie und für uns alles so wie zuvor.
In diesem Beitrag erfahren Sie mehr darüber, worauf Sie im Rahmen der DSGVO Änderungen bei Ihrer WordPress Website achten müssen.