Webhosting wird inzwischen von zahlreichen Dienstleistern im Internet angeboten. Oft genügen ein paar Klicks, um eine Internetpräsenz auf gehostetem Speicherplatz zu veröffentlichen. Dabei ist selbst den Anbietern oft nicht bekannt, dass Webhosting eine schriftliche Vereinbarung nach § 11 BDSG erfordert, wenn dabei personenbezogene Daten im Auftrag verarbeitet werden.
UPDATE: Kostenlose Download-Möglichkeit von Musterverträgen.
Aber ist Webhosting tatsächlich Auftragsdatenverarbeitung?
Was ist Webhosting?
Wer sich im Internet präsentieren will, braucht Webspace. So wird der Speicherplatz auf einem Webserver genannt, auf den über das Internet zugegriffen werden kann. Webhosting bezeichnet das Bereitstellen von Webspace auf dem Webserver eines Internet Service Providers. Webhosting-Angebote gibt es inzwischen zahlreich im Internet. Dabei reicht der Leistungsumfang der Webhoster von der einfachen Bereitstellung von Ressourcen bis hin zu umfangreichen zusätzlichen Serviceleistungen, wie z. B. Monitoring, Datensicherung oder statistische Auswertungen.
Was ist Auftragsdatenverarbeitung?
Unter Auftragsdatenverarbeitung ist das Auslagern von Datenverarbeitungsprozessen auf externe Stellen zu verstehen, wobei der Auftragnehmer gegenüber dem Auftraggeber jedoch weisungsgebunden bleibt, d. h. keinen eigenen Wertungs- und Entscheidungsspielraum bezüglich der übermittelten Daten hat.
Klassische Auftragsdatenverarbeitungen sind z. B. die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung aus dem Unternehmen oder die Übertragung bestimmter Marketingmaßnahmen, wie etwa den Newsletter-Versand, an Direktmarketing-Agenturen.
Auftragsdatenverarbeitung im BDSG
Gesetzlich geregelt ist die Auftragsdatenverarbeitung in § 11 Bundesdatenschutzgesetz (BDSG). Die Vorschrift legt die datenschutzrechtlichen Rahmenbedingungen für das Outsourcing von Datenverarbeitungsprozessen fest.
In § 11 Abs. 1 BDSG heißt es:
„Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“
Charakteristisch für die Auftragsdatenverarbeitung ist demnach, dass der Auftraggeber in Bezug auf die verarbeiteten Daten stets selbst für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt.
Anforderungen des § 11 BDSG
Im Falle einer Auftragsdatenverarbeitung trifft den Auftraggeber bereits bei der Auswahl des Auftragnehmers eine Sorgfaltspflicht. Außerdem bestehen Kontroll- und Dokumentationspflichten hinsichtlich der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes vor und während der Dauer der Datenverarbeitung.
Wohl die wichtigste Anforderung ist jedoch, dass ein schriftlicher Auftrag für die Datenverarbeitung zu erteilen ist, d. h. es ist eine schriftliche Vereinbarung zwischen Auftraggeber und Auftragnehmer mit deren Unterschriften erforderlich. Das Ausfüllen eines Online-Formulars oder die Beauftragung per E-Mail sind also nicht ausreichend. Die Vereinbarung muss zudem insbesondere die in § 11 Abs. 2 Satz 2 BDSG aufgeführten zehn Punkte regeln.
Was gilt für Webhosting?
Ob oder vielmehr ab wann Webhosting eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG darstellt und demnach eine schriftliche Vereinbarung erfordert, wird in der Kommentarliteratur zum BDSG unterschiedlich beurteilt.
Pro Auftragsdatenverarbeitung
In Teilen der Literatur wird die Auffassung vertreten, schon bei der Inanspruchnahme fremder Rechnerleistung und Speicherplatz, also dem Kern des Webhosting-Geschäfts, liege regelmäßig eine Auftragsdatenverarbeitung vor:
Durch die physische Herrschaft über die genutzten Einrichtungen und den daraus resultierenden Einflussmöglichkeiten des Dienstleisters auf die Datenverarbeitung ist die Inanspruchnahme fremder Rechnerleistung und Speicherplatz regelmäßig ein Fall des § 11 BDSG.
Demnach genüge also die bloße Möglichkeit, auf die datenverarbeitenden Systeme einzuwirken, um von einer Auftragsdatenverarbeitung auszugehen. Dies gelte insbesondere dann, wenn der Dienstleister auch Überwachungs- und Wartungsaufgaben übernimmt.
Ebenso gelte dies für die Erbringung von Application-Services, also wenn sowohl Systemumgebung als auch Anwendungen bereitgestellt werden (z.B. Shop-Hosting).
Kontra Auftragsdatenverarbeitung
Einer anderen Auffassung zur Folge, liegt hingegen noch keine Auftragsdatenverarbeitung vor, wenn ein Rechenzentrum einem Kunden seine Anlage (ganz oder teilweise) zur Verfügung stellt und diese vom Kunden zur abgeschotteten Datenverarbeitung genutzt wird. Es handele sich hierbei allenfalls um eine Miete fremder Datenverarbeitungsanlagen, denn:
Der Kunde entscheidet allein und ausschließlich darüber, welche personenbezogenen Daten wann und in welcher Weise verarbeitet werden. Die Programme werden von ihm erstellt und eingesetzt.
Die bloße Nutzung fremder Ressourcen im Rahmen des Webhosting wäre demnach noch keine Auftragsdatenverarbeitung, sondern ein datenschutzrechtlich neutraler Vorgang.
Auftragsdatenverarbeitung liege dieser Ansicht nach aber dann vor, wenn der Dienstleister auch die Anfertigung von Sicherungskopien und deren Aufbewahrung übernehmen soll.
Ansicht der Aufsichtsbehörden
Die deutschen Datenschutz-Aufsichtsbehörden scheinen bei Webhosting zumindest dann von einer Auftragsdatenverarbeitung auszugehen, wenn auf dem gehosteten Speicherplatz ein Online-Shop betrieben wird, da über den Shop personenbezogene Daten verarbeitet werden. Dies geht aus einer intern vorliegenden Korrespondenz hervor.
Ob die Aufsichtsbehörden diese Ansicht für jeden Fall des Webhostings vertreten, also auch wenn keine personenbezogenen Daten über die gehostete Internetpräsenz erhoben werden, ist unklar.
Geht man aber davon aus, dass sich die Behörden bei der Auslegung nationaler Regelungen, die auf europäischen Richtlinien basieren, an der Auslegung der entsprechenden Richtlinie orientieren, so erscheint dies sehr wahrscheinlich.
“Auftragsverarbeiter” in der Datenschutz-Richtlinie
Die Datenschutz-Richtlinie (RL 95/46/EG), eine Richtlinie der Europäischen Gemeinschaft zum Schutz der Privatsphäre natürlicher Personen, auf der das BDSG in weiten Teilen basiert, enthält unter anderem Regelungen für sogenannte “Auftragsverarbeiter”.
Zum Begriff des “Auftragsverarbeiters” in der Datenschutz-Richtlinie nahm die “Artikel-29-Datenschutzgruppe”, ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, wie folgt Stellung:
“Ein Internet-Diensteanbieter, der Hosting-Dienste bereitstellt, ist grundsätzlich ein Auftragsverarbeiter hinsichtlich der personenbezogenen Daten, die von seinen Kunden – die diesen Anbieter für das Hosting und die Wartung ihrer Websites einsetzen – online veröffentlicht werden.” (Quelle)
Legt man diese Stellungnahme zugrunde, dürfte Webhosting in jedem Fall eine Datenverarbeitung im Auftrag darstellen.
Problematik für den Webhoster
Für die Anbieter von Webhosting-Diensten ist die Frage, ob es sich bei ihren Leistungen um Auftragsdatenverarbeitung im Sinne des § 11 BDSG handelt, mit weitreichenden Konsequenzen verbunden.
So wären sie von diversen Duldungs- und Mitwirkungspflichten in Bezug auf die Kontrollrechte des Auftraggebers betroffen. Der Auftraggeber könnte beispielsweise Zugang zum Rechenzentrum verlangen, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes zu überzeugen.
Es erscheint daher nicht verwunderlich, dass sich viele Anbieter nicht als Auftragsdatenverarbeiter im Sinne des § 11 BDSG sehen.
Drohende Sanktionen
Wer als Auftraggeber einen Auftrag nach § 11 BDSG nicht oder nicht in der vorgegebenen Weise erteilt oder sich vor Beginn der Datenverarbeitung nicht von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugt, handelt ordnungswidrig.
Verstöße können von den Datenschutz-Aufsichtsbehörden mit einer Geldbuße von bis zu 50.000 Euro belegt werden (§ 43 Abs. 1 Nr. 2b i.V.m. Abs. 3 BDSG).
Unser Tipp für Shopbetreiber
Die Frage, ob es sich bei Webhosting stets um Auftragsdatenverarbeitung im Sinne des § 11 BDSG handelt, lässt sich derzeit nicht abschließend beantworten. Die Meinungen in der Literatur gehen auseinander und Rechtsprechung hierzu ist (noch) nicht bekannt. Ebenso fehlen verbindliche Stellungnahmen der Aufsichtsbehörden.
Da die Behörden aber scheinbar dazu tendieren, Webhosting zumindest in Verbindung mit dem Betrieb eines Online-Shops als Auftragsdatenverarbeitung zu bewerten, sollten betroffene Shopbetreiber in jedem Fall die aktuelle rechtliche Entwicklung in diesem Bereich aufmerksam verfolgen und sich gebenenfalls mit ihrem Webhoster in Verbindung setzen. (lk)
UPDATE: Musterverträge
Da die Erstellung von Verträgen zur Auftragsdatenverarbeitung sehr aufwendig bzw. teuer ist, haben wir für Sie drei geeignete Stellen herausgesucht, bei denen man Musterverträge kostenlos downloaden kann:
- Mustervertrag vom BITKOM
- Mustervertrag von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
- Mustervertrag von Rechtsanwalt Stephan Hansen-Oest
In der datenschutzrechtichen Literatur wird durchgängig die Auffassung vertreten, dass das “Webhosting” eine Auftragsdatenverwaltung darstellt, sofern der Hoster technisch Zugriff auf die Daten hat. Ein technischer Zugriff des Hosters auf die Daten lässt sich aber praktisch nicht ausschließen. Das hat zur Folge, dass bei Nutzung von Shopsoftware, die auf einem fremden Rechner liegt, grundsätzlich immer eine Auftragsdatenverarbeitung vorliegt. Leider ist das bislang nicht zu dem überwiegenden Teil der Anbietern durchgedrungen, so dass hier ein nicht unerhebliches rechtliches Risiko besteht.
@HollahiHollaho
Das ist nicht richtig. Wie in dem Beitrag bereits dargelegt, wird diese Auffassung eben nicht durchgängig vertreten. Die Gegenauffassung, dass es sich bei der bloßen Inanspruchnahme fremder Rechnerleistung noch nicht um Auftragsdatenverarbeitung, sondern um eine datenschutzrechtlich neutrale Miete von DV-Anlagen handele, wird z.B. im Gola/Schomerus, einem renommierten Standardkommentar zum BDSG vertreten (vgl. Gola/Schomerus, 10. Auflage, 2010, § 11 Rn. 8 BDSG)
“einem renommierten Standardkommentar zum BDSG vertreten”
Mit Verlaub: der Gola/Schomerus ist sicherlich ein Standardkommentar, mit Renomee hat das aber nichts zu tun. Die Ansichten im Gola/Schomerus sind sehr gerne M.M. und ohne einen wirklich renommierten Kommentar (wie den Simitis) sollte man aus dem Gola/Schomerus nicht zitieren.
Daneben ist das Problem alles andere als abstrakt: Die Admins bei den Webhostern können auf die Datenbanken, in denen unverschlüsselte Kundendaten liegen, jederzeit zugreifen und diese ggfs. stehlen. Auch wenn das im Alltag, wo Hänschen Doof seine selbstgestrickten Deckchen mit einer OSCommerce-Standard-Installation verkaufen möchte erhebliche Probleme bereitet, wird man die Anforderungen des §11 BDSG durchaus zu stellen haben.
Lösungen? Ein Shop der die Daten brauchbar verschlüsselt oder Webhoster die sich an den §11 BDSG halten.
@KeinName
In dem obigen Beitrag werden lediglich die zu dem Thema vertretenen Auffassungen dargestellt. Welcher Auffassung man aus welchen Gründen folgen möchte, bleibt erst einmal jedermann freigestellt. Auch eine Mindermeinung gilt es jedoch zunächst einmal zu widerlegen. Und mit Verlaub: Einem Standardkommentar kurzerhand das Renommé abzusprechen, erscheint mir doch recht gewagt.
Dass es sich hierbei jedoch keineswegs nur um ein abstraktes Problem handelt, da bin ich völlig bei Ihnen.
Hat schon mal jemand an die Webdesigner und Webentwickler gedacht?
Diese Klientel hat nicht selten vollen Zugang zu den Datenbanken und somit Kundendaten ihres Kunden. Nicht selten entwickeln solche Leute auch Datanbankanwendungen, in denen nicht wenige Kundendaten gesammelt werden.
Kurzum, der Webentwickler der für einen Kunden arbeitet, weiß oft mehr über die Daten dessen Kunden als sein Kunde selbst.
Man braucht wohl auch niemandem erklären, dass Webentwickler auch die Datentabellen kopieren können, oder?
Nun frage ich mich, gibt es angesichts der Datenschutzbestimmungen noch eine Zukunftschance für einzelne Webentwickler?
Oder wird es nur noch Agenturen geben, weil die Anforderungen in Deutschland so hoch sind, dass einzelne Webentwickler sich weder Zertifikate noch erweitertes Datenschutzmanagement leisten können?
Läuft alles auf Zentralisierung bei großen Konzernen hinaus, weil die Kleinen nicht mehr mit halten können?
Eigentlich sollte die Diskussion, ob jetzt Webhosting eine Auftragsdatenverarbeitung ist oder nicht, mal nicht als Wortglauberei von Gesetzestexten gesehen werden. Das Ziel ist doch der Schutz persönlicher Daten. Zu diesem Zweck wurde das Gestz so aufgebaut, daß der Einzelne möglichst transparent weiß, wer wo seine Daten hat, bzw. wen er dafür verantwortlich machen kann. Wenn mir ein Shopbetreiber nicht sagt, wo das Hosting stattfindet, dann kann ich als Person meine Rechte damit nicht durchsetzen. Ohne Auftragsdatenverarbeitung kann es der Shopbetreiber aber auch nicht. In letzter Konsequenz müßte der Shopbetreiber also mir alle “verantwortlichen Stellen” nennen, welche in irgendeiner Weise auf meine Daten Zugriff hätten.
Die Auftragsdatenverarbeitung hat aber für den Subunternehmer den Vorteil, daß er aufgrund der Vertrages seine Verantwortung als “verantwortliche Stelle” (siehe BDSG) an den Auftraggeber abgibt. Dieses Privileg erhält der Subunternehmer (Hoster, etc. ) eben aufgrund dieses Vertrages. Als Person muß ich mich also bei einer durchgängigen Kette von Verträgen nur noch an den Webshopbetreiber wenden. Aus der Sicht des Einzelnen durchaus wünschenswert und so wie ich das Gesetz interpretiere, ist das auch der Zweck dieses BDSG.
Im Zweifel also schützt das Gesetz meines Erachtens die personenbezogenen Daten. Und ein Servicetechniker des Hosters mit Zugriff auf eine Kundendatenbank kann nicht außerhalb des Gesetzes stehen.
Also entweder wird der Hoster als “verantwortliche Stelle” im Sinne des Gesetzes jedem Shopper in seiner Bestellbestätigung und im Shop vorab mitgeteilt, oder es liegt eine Auftragsdatenverarbeitung vor: dann reicht der Kontakt zum Shopbetreiber.
Aus meiner persönlichen Sicht als Verbraucher würde ich Letzeres vorziehen.
Als Shopbetreiber werde ich nicht warten, sondern handeln.
Meines Erachtens geht die Diskussion in eine falsche Richtung.
Zunächst muss doch geklärt werden, ob der Hoster personenbezogene Daten verarbeitet (bzw. erhebt oder nutzt). Ist das der Fall, ist er verantwortliche Stelle im Sinne des BDSG – mit allen sich daraus ergebenden Pflichten.
Um das zu verhindern, gibt es die Auftragsdatenverarbeitung, die beide (also Hoster und Shopbetreiber) privilegiert: Der Hoster muss sich keine Gedanken über mögliche Folgen seines Daseins als verantwortliche Stelle im Hinblick auf die Kundendaten machen. Der Shopbetreiber muss sich nicht fragen, ob er die Daten überhaupt durch den Hoster verarbeiten lassen darf und ob es womöglich einer Einwilligung der Betroffenen bedarf. Liegt ein Fall der Auftragsdatenverarbeitung vor und werden die (strengen) Anforderungen von §§ 11, 9 BDSG eingehalten, gilt der Hoster nicht als Dritter (§ 3 Abs. 8 Satz 3 BDSG). Die Übermittlung der Daten an den Hoster wird nicht als Weitergabe von Daten behandelt, die einer Rechtfertigung bedarf.
Zurück zur Ausgangsfrage: Bei einem klassischen Hoster kann im Ergebnis kein Zweifel daran bestehen, dass er Daten seiner Kunden verarbeitet. Der Hoster hat die volle physische Kontrolle über die Daten und ein Zugriff auch auf die personenbezogenen Daten kann nicht ausgeschlossen werden. Das sieht offenbar auch das Gesetz so: Nach § 11 Abs. 5 BDSG soll auch ein IT-Dienstleister, der über Fernwartung auf die Systeme zugreifen kann und dabei ein Zugriff auf die personenbezogenen Daten nicht ausgeschlossen ist, als Auftragsdatenverarbeiter anzusehen sein.
M.E. bezieht sich die Fundstelle bei Gola/Schomerus dann auch eher auf die Servermiete (Housing), bei dem der Vermieter gerade keinen Zugriff auf die Daten hat. Dann ist das RZ natürlich nicht Datenverarbeiter.
Aus meiner Sicht ist das Thema für Shopbetreiber sehr wichtig. Es sollte aber eher positiv angegangen werden: schließen wir einen vernünftigen Vertrag über die Datenverarbeitung durch den Hoster im Auftrag, stehen beide besser da…
Schönen Gruß in die Runde
Martin Schirmbacher
“Daneben ist das Problem alles andere als abstrakt: Die Admins bei den Webhostern können auf die Datenbanken, in denen unverschlüsselte Kundendaten liegen, jederzeit zugreifen und diese ggfs. stehlen.”
Das könnte man natürlich lösen, in dem man die Kundendaten verschlüsselt speichert. z.B. per AES in MySQL. Aber das Problem dabei ist wieder, dass das Passwort zur Entschlüsselung in der Abfrage steht. D.h. der Hoster könnte die MySQL-Logs sichten bzw. unbemerkt welche anlegen und schon kann er die Daten einsehen.
Selbst wenn man die Daten in PHP ver- und entschlüsselt wäre das Problem das gleiche. Der Webhoster hat Zugriff auf das PHP-Script und kann demnach das Passwort einsehen.
Und selbst wenn dieses Passwort nur bei Login des Admins im Script verarbeitet wird, könnte der Webhoster das Script so ändern, dass es ihm im Fall der Fälle die Daten in Kopie zusendet.
Und der sensibelste Punkt ist immer noch die Übertragung der Kundendaten. Also wenn der Kunde seine Daten das erste Mal eingibt. Dann werden sie im Klartext an den Server übertragen. Jeder könnte dann hingehen und diese Daten stehlen. Falls kein SSL vorliegt sogar der Internetanbieter oder der, der das Netzwerk administriert. Aber selbst bei SSL ist es spätestens beim Server wieder Klartext und da kann der Webhostingkunde, der Webdesigner (der nur dann, wenn man dessen FTP Zugang nicht auf das Template-Verzeichnis beschränkt, was man sowieso machen sollte), der Programmierer und der Hoster zugreifen.
Allerdings verstehe ich den Punkt mit dem “Mietserver” auch nicht. Jedes Rechenzentrum wird administriert. Diese Administratoren können alles. Dann müsste man schon die Festplatten komplett verschlüsseln oder sowas, aber dieses Passwort muss ja auch irgendwie zum Server kommen. Spätestens da ist es dann wieder Klartext.
Also geht doch nur selber ein Rack hinstellen und selber administrieren. ^^