Melden Sie sich zu unserem Newsletter an!
Lust auf interessante Themen und spannende Beiträge rund um IT und IT-Sicherheit? Abonnieren Sie unseren monatlichen Newsletter!
Jetzt anmelden!© Agence Olloweb, Unsplash
Sind die Auftragsverarbeitungsverträge präzise formuliert? Gibt es einen Verweis auf das Verzeichnis von Verarbeitungstätigkeiten? Welche technischen und organisatorischen Maßnahmen werden getroffen?
Derartigen Fragen müssen sich aktuell Webhoster aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern stellen. Denn hier prüfen die Datenschutz-Aufsichtsbehörden die sogenannten Auftragsverarbeitungsverträge von Webhostern.
Was dahinter steckt und was das für Sie bedeutet, haben wir für Sie zusammengefasst.
Hintergrund
Die allermeisten Organisationen betreiben ihre Internetseite über externe Dienstleistungs-Unternehmen, sogenannte Webhoster. Diese verarbeiten auch personenbezogene Daten von den Seitenbesucher:innen der Organisation. Da die Verarbeitung im Regelfall im Auftrag der Organisation erfolgt, gelten Webhoster als Auftragsverarbeiter. Somit müssen Organisationen mit ihren Webhostern einen spezifischen Vertrag – den Auftragsverarbeitungsvertrag (AVV) – schließen, um einen konkreten Rahmen für diese weisungsgebundenen Tätigkeiten zu schaffen.
Die Aufsichtsbehörden erreichen allerdings regelmäßig Meldungen von Verantwortlichen, dass die von den Webhostern angebotenen AVV nicht datenschutzkonform sind und Webhoster diese nicht anpassen wollen. Auch eigene Prüfungen bestätigen dies immer wieder.
Häufig fehlt in den AVV ein ausreichender Nachweis, dass die Webhoster die vereinbarten Datenschutzmaßnahmen umsetzen. Das ist nicht nur problematisch für die Webhoster selbst, sondern auch für die beauftragenden Organisationen. Sie gelten als Verantwortliche gegenüber Aufsichtsbehörden und Betroffenen und müssen nachweisen können, dass sie die Datenschutz-Vorgaben einhalten.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BInBDI) führt deshalb eine Prüfung durch, um Webhoster und Verantwortliche bei der Schließung rechtskonformer AVV zu unterstützen.
Prüfung
Im Rahmen der Prüfung kontrolliert die BInBDI die Auftragsverarbeitungsverträge zwischen ausgewählten großen Webhostern aus Berlin und deren Kund:innen. Auch die Aufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern beteiligen sich an der koordinierten Prüfung.
Zusätzlich hat die BInBDI eine umfassende Checkliste für Verantwortliche und Webhoster entwickelt und setzt einen Standard für AVV-Prüfung ein, der auch in anderen Bereichen angewandt werden kann. Die BInBDI ermuntert „alle IT-Dienstleister, ihre Standverträge selbstständig zu prüfen und an das Gesetz anzupassen“ – so Volker Brozio, kommissarischer Dienststellenleiter der BInBDI. Denn Bußgelder können nicht nur Verantwortliche, sondern auch IT-Dienstleister treffen, wenn sie keine ordnungsgemäßen AV-Verträge einsetzen.
Was bedeutet das für Sie?
Wenn Sie eine Internetseite über einen Webhoster betreiben, sollten Sie die aktuellen Prüfungen der Aufsichtsbehörden zum Anlass nehmen, auch bei Ihren Dienstleistungsunternehmen einen genauen Blick auf den AVV zu werfen. Denn als Verantwortliche müssen Sie nachweisen können, dass Sie die Datenschutz-Vorgaben einhalten – auch, wenn Sie Auftragsverarbeiter:innen beschäftigen. Sonst können Bußgelder oder Schadensersatzforderungen drohen. Das gilt übrigens für alle Auftragsarbeiten, nicht nur für Webhoster.
Ein guter Anhaltspunkt für die Prüfung von AVV ist die Checkliste der Berliner Aufsichtsbehörde. Den Fragebogen sollten Sie mit Ihrem Datenschutz-Team durchgehen und prüfen, wie der aktuelle Stand bei Ihren Auftragsverarbeiter:innen ist und – wo nötig – nachbessern. Sprechen Sie die jeweiligen Unternehmen an und fordern Sie die nötigen Maßnahmen ein. Bei Bedarf sollten Sie sich zudem (datenschutz-)rechtlich beraten lassen.
Fazit
Die AVV von Webhostern sind häufig nicht datenschutzkonform und es fehlen Nachweise, dass Webhoster vereinbarte Datenschutzmaßnahmen tatsächlich umsetzen. Das ist ein Compliance-Problem sowohl für die Webhoster als auch die beauftragenden Unternehmen.
Die aktuellen Prüfungen der Datenschutz-Aufsichtsbehörden sind ein guter Anlass, auf die eigenen AVV zu schauen und an die Datenschutzgesetze anzupassen. So stellen Sie Ihre Organisation datenschutzkonform auf und vermeiden teure Bußgelder.
Wir unterstützen Sie!
Ihre Auftragsverarbeiter:innen weigern sich, die AVV anzupassen? Sie möchten einen datenschutzkonformen Webhoster? Wir unterstützen Sie und hosten Ihre Website in unserer münsterland.cloud – lokal und datenschutzkonform. Wir übernehmen für Sie sogar den Umzug.
Dabei stehen wir nicht alleine da. Unser Schwesterunternehmen, die Sachverständigenbüro Mülot GmbH, berät uns rund um die Themen Datenschutz und Datensicherheit. So sorgen wir für ein datenschutzkonformes System und die Sicherheit Ihrer Daten.
Quellen
Berliner Beauftragte für Datenschutz und Informationsfreiheit (2022): „Berliner Datenschutzbeauftragte prüft Auftragsverarbeitungsverträge von Webhostern“, 19. Juli 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220718-BlnBDI-AVV-Pruefung.pdf.
Berliner Beauftragte für Datenschutz und Informationsfreiheit (2022): „Checkliste Prüfung AVV“, 20. Juni 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/themen-a-z/a/2022-BlnBDI-Checkliste_Pruefung_AVV_v1.0.pdf.