In vielen Fällen führen Verantwortliche nicht alle Phasen der Datenverarbeitung selbst durch, sondern greifen auf entsprechende Dienstleister zurück. Datenschutzrechtlich handelt es sich dabei regelmäßig um eine Auftragsverarbeitung, für die Art. 28 Datenschutz-Grundverordnung (DS-GVO) bestimmte Vorgaben macht.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz führt ab dieser Woche eine Prüfung der datenschutzrechtlichen Musterverträge zwischen Webhostern mit Sitz in Rheinland-Pfalz und deren Kund:innen, den sogenannten Auftragsverarbeitungsverträgen, durch. Die Prüfung erfolgt in enger Abstimmung der Datenschutz-Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und dem Bayerischen Landesamt für Datenschutzaufsicht.
Viele Organisationen betreiben ihre Internetseite oder ihren Online-Shop über einen externen Dienstleister (Webhoster). Dabei werden notwendigerweise Daten von Besucher:innen der Internetseite verarbeitet. Es handelt sich deshalb juristisch um eine Verarbeitung personenbezogener Daten. Im Regelfall erfolgt diese Verarbeitung im Auftrag des Verantwortlichen, d.h. der Webhoster ist ein Auftragsverarbeiter. Über die weisungsgebundene Tätigkeit müssen die Betreiber:innen der Internetseite und der Webhoster einen besonderen Vertrag schließen, den sogenannten Auftragsverarbeitungsvertrag (AVV). Die Datenschutz-Grundverordnung beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.
Vielfach erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DS-GVO entspricht. Zu diesem Ergebnis kommen auch die Datenschutz-Aufsichtsbehörden selbst immer wieder im Rahmen ihrer Prüfungen. So sehen beispielsweise viele AVV nicht ausreichend vor, dass der Webhoster nachweist, dass er die vereinbarten Datenschutzmaßnahmen umsetzt. Dies kann ein großes Problem für die Betreiber:innen von Internetseiten darstellen. Denn diese müssen wiederum gegenüber den Datenschutz-Aufsichtsbehörden und den betroffenen Personen nachweisen können, dass sie den Datenschutz einhalten.
Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen AVV zu unterstützen, prüft der Landesbeauftragte die Muster-AVV von ausgewählten großen Webhostern aus seinem Bundesland. Dazu haben die Datenschutzbehörden eine Checkliste nebst Anwendungshinweisen erstellt, die sie den Webhostern bereitstellen und die unter https://www.datenschutz-berlin.de/checkliste-avv veröffentlicht ist.
„Das Ziel der koordinierten Prüfung ist eine datenschutzrechtliche Verbesserung der Web-Auftritte von kleinen und großen Unternehmen. Diese sind zumeist auf externe Dienstleister angewiesen, tragen aber am Ende selbst den Großteil der datenschutzrechtlichen Verantwortung für ihre Webseiten.“ stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann, klar. „Damit in solchen Fällen die Verantwortlichkeiten klar sind und auch bei einer Verarbeitung personenbezogener Daten durch Dritte die Rechte der Betroffenen gewahrt werden, macht die Datenschutz-Grundverordnung Vorgaben für die Gestaltung der Verträge mit den Dienstleistern. Die von den Datenschutzaufsichtsbehörden erstellte Checkliste dient dabei als Grundlage, Sie soll den Verantwortlichen auch zur Orientierung bei der Gestaltung ihrer Verträge dienen und ist insoweit als Hilfestellung gemeint, um die Verantwortlichen zu unterstützen.“