Stand: 01.07.2018

Website-Hosting, Webdesgin, Webprogrammierung als Auftragsdatenverarbeitung

Seit dem neuen Datenschutzrecht (DSGVO) gibt es neue Rechte und Pflichten für Webseitenbetreiber. Die Website muss zum einen technisch und inhaltlich datenschutzkonform betrieben werden. Und wenn man einen externen Dienstleister beauftragt hat, die Website im Internet bereitzustellen (Webhosting), ist mit diesem ein Auftragsdatenverarbeitungsvertrag abzuschließen.

Was genau ist Webhosting?

Um eine Website im Internet präsentieren zu können, benötigt man ausreichend Speicherplatz und weitere Funktionalitäten auf einen rund um die Uhr mit dem Internet verbundenen Computer (Webserver). Die Verwendung eines eigenen Webservers ist aufwendig und mit hohen Kosten verbunden. Gängige Praxis ist es daher für die meisten geschäftlichen und privaten Webseitenbetreiber, Serverplatz auf einem externen Webserver für diesen Zweck anzumieten. Diese Dienstleistung nennt man Webhosting.

Was ist eine Auftragsdatenverarbeitung?

Die Auftragsverarbeitung (ADV) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen, Kontodaten) durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. Daher ist ein solcher Vertrag recht umfangreich, selbst wenn es in manchen Fällen nur um sehr wenige Daten geht.

Ist Webhosting Auftragsdatenverarbeitung?

Klare Sache! Serviceleistungen eines Website-Hosters, „wie das Entgegennehmen und Archivieren von E-Mails der Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website im Auftrag, das Tracking des Verhaltens der Website-Nutzer im Auftrag usw.sind als Datenverarbeitung im Auftrag … einzuordnen.“ (BayLDA). Personenbezogene Daten, die geregelt werden müssen, fallen nach neuer Rechtsprechung sogar bereits an, wenn man nur die Website im Internet bereitstellt, denn: IP-Adressen sind laut BGH personenbezogene Daten.

Ist Webdesign Auftragsdatenverarbeitung?

In der Regel umfasst Webdesign auch den Umgang mit personenbezogenen Daten. Beispiel: Ein Webdesigner soll WordPress einrichten und bekommt die Zugangsdaten für die Datenbank, auf der auch Kunden- oder Nutzerdaten liegen. Sobald ein Dienstleister (auch rein theoretisch) eine Möglichkeit hat, auf personenbezogene Daten zuzugreifen, ist zumindest eingehend zu prüfen, ob die Vorschriften über Auftragsdatenverarbeitung anzuwenden sind. Quelle:t3n.de

Ist Webprogrammierung Auftragsdatenverarbeitung?

Es kommt darauf an. Wird z.B. ein Plugin für WordPress geschrieben und abgegeben, welches irgendetwas bunt macht, sind wohl keine personenbezogenen Daten betroffen. Gegenbeispiel: Ein Onlineshop-Betreiber beauftragt einen Programmierer mit einem Softwareupdate, im Rahmen dessen der Programmierer Zugriff auf die Kundendaten hat. Das ist dann klar eine Auftragsdatenberarbeitung. Quelle:t3n.de

Gibt es Alternativen zum Auftragsdatenverarbeitungsvertrag?

Wenn tatsächlich kein brauchbarer Auftragsdatenverarbeitungsvertrag zustande kommt, ist die gesetzliche Lage eindeutig. Ein Dienstleister darf ohne entsprechenden Vertrag vom Auftraggeber nicht eingesetzt werden, wenn es sich um eine Verarbeitung im Auftrag handelt und dieses ist beim Webdesign und insbesondere dem Webhosting regelmäßig der Fall. Eine dennoch erfolgende Kooperation ist rechtswidrig; Bußgelder drohen und werden auch verhängt. Zusätzlich verstößt der Auftraggeber dabei gegen eigene Sorgfaltspflichten. Kommt es hier zu einem Schaden, haftet neben dem Unternehmen auch das Management – und zwar persönlich! Eine Versicherung wird bei offensichtlichen Pflichtverstößen dieser Art im Zweifel nicht einspringen. Das Risiko sollte also nicht unterschätzt werden. Quelle: activemind.de

Fazit

Sobald Sie Ihre Homepage über einen externen Dienstleister (z.B. das TBA-Berlin) herstellen und/oder online stellen, bzw. Ihre E-Mails über den Dienstleister verwalten lassen, benötigen Sie einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) mit diesem Dienstleister. Es drohen drastische Geldbußen, wenn man dies versäumt.

Das TBA-Berlin hat für alle Kunden selbstverständlich Auftragsdatenverarbeitungsverträge vorbereitetet. Bitte sprechen Sie uns an wenn Sie noch keinen Vertrag vorliegen haben sollten.

Lesetipps

Lesetipps:

  Top