Webhosting, Webdesign, Programmierung als Auftragsdatenverarbeitung

Mit jedem Kunden, der seit 2018 Webseiten über das TBA-Hamburg/-Berlin programmieren bzw. im Internet bereitstellten lässt, oft inkl. seiner zur Domain gehörenden E-Mail-Konten, ist, schließen wir einen Auftragsdatenverarbeitungsvertrag nach der DSGVO.

Da in diesem Zusammenhang oft Fragen entstehen, versuchen wir hier zu erläutern, was das für ein Vertrag ist, warum und wofür man ihn braucht.

Dieser Artikel ist keine Rechtsberatung und ersetzt auch keine.

Hier können Sie Ihren Auftragsdatenverarbeitungsvertrag bequem online bestätigen.

Worum geht es?

Seit dem neuen Datenschutzrecht (DSGVO) gibt es neue Rechte und Pflichten für Webseitenbetreiber. Die Website muss zum einen technisch und inhaltlich datenschutzkonform betrieben werden. Und wenn man einen externen Dienstleister beauftragt hat, die Website im Internet bereitzustellen (Webhosting), ist mit diesem ein Auftragsdatenverarbeitungsvertrag abzuschließen.

Was genau ist Webhosting?

Um eine Website im Internet präsentieren zu können, benötigt man ausreichend Speicherplatz und weitere Funktionalitäten auf einen rund um die Uhr mit dem Internet verbundenen Computer (Webserver). Die Verwendung eines eigenen Webservers ist aufwendig und mit hohen Kosten verbunden. Gängige Praxis ist es daher für die meisten geschäftlichen und privaten Webseitenbetreiber, Serverplatz auf einem externen Webserver für diesen Zweck anzumieten. Diese Dienstleistung nennt man Webhosting und wird vom TBA-Berlin angeboten.

Was ist eine Auftragsdatenverarbeitung?

Die Auftragsverarbeitung (ADV) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen, Kontodaten) durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung verantwortlichen auf Grundlage eines Vertrages.

Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. Daher ist ein solcher Vertrag recht umfangreich, selbst wenn es in manchen Fällen nur um sehr wenige Daten geht.

Ist Webhosting Auftragsdatenverarbeitung?

Die Antwort: ganz klar! – Serviceleistungen eines Website-Hosters, „wie das Entgegennehmen und Archivieren von E-Mails der Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website im Auftrag, das Tracking des Verhaltens der Website-Nutzer im Auftrag usw.sind als Datenverarbeitung im Auftrag … einzuordnen.“ (BayLDA).

Personenbezogene Daten, die geregelt werden müssen, fallen nach neuer Rechtsprechung sogar bereits an, wenn man nur die Website im Internet bereitstellt, denn: IP-Adressen sind laut BGH personenbezogene Daten. Spätestens bei den E-Mails, die in den meisten Fällen gemeinsam mit Ihrer Website auf unserem Webserver verwaltet werden, ist glasklar, dass es hier personenbezogene Daten von Ihnen verwaltet werden.

Ist Webdesign Auftragsdatenverarbeitung?

In der Regel umfasst Webdesign auch den Umgang mit personenbezogenen Daten. Beispiel: Ein Webdesigner soll WordPress einrichten und bekommt die Zugangsdaten für die Datenbank, auf der auch Kunden- oder Nutzerdaten liegen. Sobald ein Dienstleister (auch rein theoretisch) eine Möglichkeit hat, auf personenbezogene Daten zuzugreifen, ist zumindest eingehend zu prüfen, ob die Vorschriften über Auftragsdatenverarbeitung anzuwenden sind. Quelle:t3n.de

Im Zweifel schließen wir auch, wenn es „nur“ um Webdesign geht, immer einen solchen Vertrag ab.

Ist Webprogrammierung Auftragsdatenverarbeitung?

Es kommt darauf an. Wird z.B. ein Plugin für WordPress geschrieben und abgegeben, welches irgendetwas bunt macht, und wir dabei nicht an andere Daten herankommen (z.B. bestimmt Serverdaten, IP-Adressen) sind wohl keine personenbezogenen Daten betroffen. Gegenbeispiel: Ein Onlineshop-Betreiber beauftragt einen Programmierer mit einem Softwareupdate, im Rahmen dessen der Programmierer Zugriff auf die Kundendaten hat. Das ist dann klar eine Auftragsdatenverarbeitung. Quelle:t3n.de

Im Zweifel schließen wir auch hier immer einen solchen Vertrag ab.

Gibt es Alternativen zum Auftragsdatenverarbeitungsvertrag?

Wenn tatsächlich kein brauchbarer Auftragsdatenverarbeitungsvertrag zustande kommt, ist die gesetzliche Lage eindeutig: Ein Dienstleister darf ohne entsprechenden Vertrag vom Auftraggeber nicht eingesetzt werden, wenn es sich um eine Verarbeitung im Auftrag handelt und dieses ist beim Webdesign und insbesondere dem Webhosting regelmäßig der Fall.

Eine dennoch erfolgende Kooperation ist rechtswidrig; hohe Bußgelder drohen und werden auch verhängt. Zusätzlich verstößt der Auftraggeber dabei gegen eigene Sorgfaltspflichten. Kommt es hier zu einem Schaden, haftet neben dem Unternehmen auch das Management – und zwar persönlich! Eine Versicherung wird bei offensichtlichen Pflichtverstößen dieser Art im Zweifel nicht einspringen. Das Risiko sollte also nicht unterschätzt werden. Quelle: activemind.de

Kosten?

Im Vertrag werden nur Verantwortlichkeiten im Umgang mit Personendaten geregelt. Kosten bleiben außen vor und eine Unterschrift unter diesen Vertrag begründet keine Zahlungsverpflichtung.

Natürlich entstehen uns im Zusammenhang in der Realität eine Menge Kosten: Das neue EU-Datenschutzrecht bedeutet einen erheblichen Mehraufwand für jeden, auch für uns. Um den Vertrag aber so klar und einfach wie möglich zu halten. wird dort nicht über Kosten geredet, sondern nur auf bestehende Vereinbarungen für das Webhosting, die Programmierung, etc. verwiesen.

Kündigung?

Der Vertrag wird nur solange benötigt, wie es ein gemeinsames Projekt (Webdesign, Webhosting, etc.) gibt. Sobald von uns keine personenbezogene Daten von Ihnen mehr verwaltet werden, wird der Vertrag nicht weiter benötigt und kann beendet werden.

Fazit

Sobald Sie Ihre Homepage über einen externen Dienstleister (z.B. das TBA-Berlin) herstellen und/oder online stellen, bzw. Ihre E-Mails über den Dienstleister verwalten lassen, benötigen Sie einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) mit diesem Dienstleister. Es drohen drastische Geldbußen, wenn man dies versäumt.

Das TBA-Berlin hat für alle Kunden selbstverständlich Auftragsdatenverarbeitungsverträge vorbereitetet. Bitte sprechen Sie uns an, wenn Sie noch keinen Vertrag vorliegen haben sollten.

Lesetipps: