In seinem kürzlich vorgestellten Tätigkeitsbericht für die Jahre 2015/2016 (pdf) berichtet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über Anfragen von Unternehmen, wie Dienstleistungen von Website-Hostern datenschutzrechtlich einzuordnen sind und welche gesetzlichen Anforderungen erfüllt werden müssen (S. 39).
Nach Ansicht des BayLDA handelt es sich etwa bei der Entgegennehme und Archivierung von E-Mails von Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website und bei einem Tracking des Verhaltens der Website-Nutzer im Auftrag um eine Verarbeitung personenbezogener Daten des Service-Providers im Auftrag für das jeweilige Unternehmen (z. B. Website- oder App-Betreiber). Dies bedeutet, dass die gesetzlichen Anforderungen des § 11 Abs. 2 S. 2 BDSG zu erfüllen sind und insbesondere ein Vertrag mit den dort benannten Regelungen zwischen Auftraggeber und Dienstleister abgeschlossen werden muss. Dieser Auftrag muss schriftlich erteilt werden. Das Fazit des BayLDA:
Wenn ein Service-Provider zu einer solchen Vertragsregelung nicht bereit ist, kann er im geschäftlichen Bereich nicht datenschutzkonform eingesetzt werden.
Meiner Erfahrung nach ist der gesetzeskonforme Abschluss eines Vertrages zur Auftragsdatenverarbeitung in diesen Situationen in der Praxis eher die Ausnahme, als die Regel. Dies dürfte auch damit zusammenhängen, dass es heutzutage für Unternehmen sehr schnell und einfach möglich ist, online entsprechende Dienstleistungen eines Website-Hosters in Anspruch zu nehmen. An den schriftlichen Abschluss eines Vertrages zur Auftragsdatenverarbeitung wird dann oft nicht gedacht.
Für Unternehmen, die auf solche Dienstleister zurückgreifen, bedeutet dies, dass sie sich um den Abschluss entsprechender Verträge kümmern sollten, wenn dies nicht bereits geschehen ist. Erfolgt diese Auftragserteilung nicht den gesetzlichen Vorgaben entsprechend, droht schlimmstenfalls ein Bußgeld. Das BayLDA berichtet in seinem Tätigkeitsbericht über einen Sachverhalt, in dem die Behörde eine Geldbuße in fünfstelliger Höhe gegen ein Unternehmen festgesetzt hat. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt (S. 41).
In der Praxis stellt sich für Unternehmen, die einen solchen Dienstleister einsetzen und auch vertraglich verpflichten möchten, oft das Problem, dass der Dienstleister zum einen für die Erstellung und zum anderen für die Pflege des gesetzlich vorgeschriebenen Vertrages zur Auftragsdatenverarbeitung eine Gebühr verlangt. Auch hierüber berichtet das BayLDA (S. 41). Ob die Forderung nach einem Entgelt zulässig ist, dazu möchte sich das BayLDA in seinem Tätigkeitsbericht, mit Verweis auf die zivilrechtliche Implikation der Fragestellung, nicht äußern.
„Reines Website-Hosting ohne weitere Leistungen mit pb Daten unterliegen (nur) dem TKom/TMedien-Recht.“ (S. 40)
Bleibt die Frage, ob die Webhoster, welche die IP-Adressen der Besucher loggen (regelm. 30 Tage), dann in Bezug hierauf als eigene verantwortliche Stelle handeln. Falls ja, auf welcher Rechtsgrundlage?
Mfg Nym
Hallo Nym, danke für den Kommentar und den berechtigten Hinweis. Zu der Frage gibt es ja auch schon reichlich Ausführungen in der Literatur. Aus dem Bauch heraus: je nachdem. § 100 TKG. Oder wir nehmen § 15 TMG unter Beachtung des EuGH-Urteils. Wobei man evtl. auch fragen kann, ob denn nicht das Loggen eine Leistung in Bezug auf pb Daten ist. BG
@Nym: IMHO ist keine RGL erforderlich. Für Websitehoster wird es sich bei IP-Adressen spätestens seit EuGH iS Breyer nicht um pbD handeln. Der Anwendungsbereich des DS-Rechts ist gar nicht eröffnet.
@Unbefugter. Den Einwand verstehe ich nicht richtig. Der EuGH hat doch klargestellt, dass es ausreicht, wenn die Strafverfolgungsbehörden die IP Adresse zuordnen können. Warum sollte sich ein Webhoster bei einem Verdacht wg. Computersabotage nach § 303b StGB nicht an die StA wenden können?
@Nym: Wie das Urteil auszulegen ist, ist zumindest mir nicht so recht klar. Soweit es eines konkreten Verdachts bedarf, sind die Daten für den Hoster bis dahin nicht pb. Die andere, m.E. mit der Aussage des EuGH nicht zu vereinbarende Auffassung stellt darauf ab, dass irgendwann einmal ein Verdacht aufkommen kann und schon deshalb die Daten pb sind. Also alle immer. Folgt man der erstgenannten Auffassung, erstarken die Daten also erst bei der konkreten Möglichkeit der Akteneinsicht zu solchen mit Personenbezug. Dann liegen erstmals pb Daten vor und werden zum Zwecke der Strafverfolgung verarbeitet. Mit dem vorangegangenen (Quasi-)ADV-Verhältnis hat das aber nichts zu tun.
Dabei stellt sich mir die Frage, ob ein vServer, der bei einem Hoster steht, auch unter diesen ADV fällt? Wahrscheinlich aber schon oder?
Ja, auch eine interessante Frage. Auch da wird es stark von den Gegebenheiten abhängen (zB ob Zugriff auf Daten exisitiert bzw. nicht ausgeschlossen werden kann; wenn ja, welche Daten; etc). Beste Grüße.