Webhosting und Datenschutz

Webhoster aufgepasst: Auftragsverarbeitungsvertrag nicht vergessen!

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(15 Bewertungen, 4.73 von 5)

Das Wichtigste in Kürze

  • Webhoster vergessen den Auftragsverarbeitungsvertrag häufig oder müssen Ihren Kunden “hinterherrennen”.
  • Webhoster sind fast immer verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen.
  • Wenn Sie keinen Auftragsverarbeitungsvertrag haben, drohen Ihnen Abmahnungen und Bußgelder in Millionenhöhe.

Worum geht's?

Auftragsverarbeitungsverträge sind oft nicht das Erste, woran Webhoster und ihre Kunden denken. Wenn trotz Pflicht jedoch kein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen wird, hat das fatale Folgen. Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) kann schnell 20 Millionen Euro kosten. Erfahren Sie in diesem Beitrag, wann Sie als Hoster einen AV-Vertrag brauchen und wie Sie diesen DSGVO-konform mit Ihren Kunden schließen.

1. Was versteht man unter Webhosting?

INFOBOX: WEBHOSTING

Hosting-Anbieter sind unverzichtbar für die Existenz von unzähligen Unternehmen-Websites und Online-Shops. Ihre Dienstleistung besteht darin, Website-Betreibern die notwendige Infrastruktur für Ihre Internetpräsenz bereitzustellen. Kurz gesagt: Webhoster bieten Webseitenbetreibern Platz auf Servern an, damit ihre Websiten rund um die Uhr im Internet verfügbar sind.

2. Ist Hosting Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt immer dann vor, wenn personenbezogene Daten weisungsgebunden im Auftrag verarbeitet werden.

Wann handelt es sich beim Hosting um Auftragsverarbeitung?
Checkliste
  • Verarbeitung personenbezogener Daten: Der Webhoster hostet eine Website, die personenbezogene Daten wie Name, Adresse, E-Mail-Adresse oder IP-Adresse verarbeitet.
  • Weisungsgebunden: Der Hoster ist weisungsgebunden und nur der Webseitenbetreiber entscheidet darüber, wie die Daten verarbeitet werden.
  • Im Auftrag: Der Webhoster handelt im Auftrag des Webseitenbetreibers.

 

Bei Vorliegen dieser drei Kriterien handelt es sich also um Auftragsverarbeitung. Wenn Sie sich ausführlicher zur Auftragsverarbeitung an sich informieren wollen, lesen Sie unseren Artikel “Was ist die DSGVO Auftragsverarbeitung und was geht mich das an?”.

3. Wann brauchen Sie als Hoster einen Auftragsverarbeitungsvertrag?

Sobald die drei Kriterien für eine Auftragsverarbeitung vorliegen, muss nach Art. 28 DSGVO auch ein Auftragsverarbeitungsvertrag (AV-Vertrag) geschlossen werden. Schließen Sie den AV-Vertrag nicht ab, drohen beiden Parteien Abmahnungen und Bußgelder.

ZUM ARTIKEL

WEITERLESEN

Wenn Sie sich im Detail über das Thema Webhosting, Datenschutz & andere rechtliche Fallstricke informieren wollen, lesen Sie unseren Artikel zum Thema “10 Punkte, auf die Unternehmen beim Webhosting achten sollten”.

ZUM ARTIKEL

Übrigens: Ihre Kunden müssen die Datenverarbeitung im Rahmen des Webhosting in Ihre Datenschutzerklärung aufnehmen. Weisen Sie daher bei Bedarf Ihre Kunden darauf hin.

4. Wann brauchen Sie keinen Auftragsverarbeitungsvertrag beim Webhosting?

Nur wenn keine personenbezogenen Daten auf der Webseite Ihres Kunden verarbeitet werden, brauchen Sie auch keinen AV-Vertrag abzuschließen. Da jedoch nahezu alle Webseiten in irgendeiner Weise personenbezogene Daten verarbeiten, ist auch ein AV-Vertrag im Regelfall erforderlich.

ACHTUNG

Auch durch den Einsatz von Cookies, Social-Media-Plugins oder einem Kontaktformular werden personenbezogene Daten verarbeitet und ein AV-Vertrag ist erforderlich. Verzichten Sie also wirklich nur auf einen AV-Vertrag, wenn Sie 100% sicher sind, dass auf der Website Ihres Kunden keine personenbezogenen Daten verarbeitet werden.

5. Webhosting & Datenschutz: Was müssen Sie im AV-Vertrag regeln?

Neben der Sicherheit der Verarbeitung regelt ein AV-Vertrag, in welchem Rahmen Sie als Webhoster die Daten der Webseiten-Besucher verarbeiten. Gesetzlich ist festgelegt (Art. 28 DSGVO), welche Inhalte im AV-Vertrag stehen müssen. Demnach muss ein AV-Vertrag zunächst folgende allgemeine Punkte umfassen:

Beschreibung der Verarbeitung & Rechte und Pflichten des Kunden

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Rechte und Pflichten des Kunden (u.a. Dokumentation der Weisungen und Kontrollrecht des Kunden)

Darüber hinaus ergeben sich aus Art. 28 DSGVO weitere Punkte, die Ihr AV-Vertrag enthalten sollte und die für Sie als Webhoster besonders relevant sind:

Pflichten für Webhoster

  • Weisungsgebundenheit
  • Vertraulichkeitsverpflichtung
  • Ergreifen geeigneter technische und organisatorische Maßnahmen (TOMs)
  • Regelung zum Einsatz von Dienstleistern bzw. Subunternehmern
  • Unterstützung bei Geltendmachung von Betroffenenrechten
  • Unterstützung bei Meldepflicht im Fall von Verstößen gegen die DSGVO
  • Rückgabe und/oder Löschung der personenbezogenen Daten nach Beendigung der Verarbeitungsleistungen
  • Hinweis- bzw. Informationspflichten

Achten Sie als Webhoster darauf, dass Ihre Kunden Ihnen keine unverhältnismäßigen Einsichtsrechte in die interne Dokumentation vorschreiben.

Sören Siebert
Sören SiebertRechtsanwalt

6. Prüfung von AV-Verträgen durch Landesdatenschutzbehörden

Immer wieder prüfen Landesdatenschutzbehörden die AV-Verträge zwischen Hostern und ihren Kunden. Innerhalb des Prüfungsverfahrens ist das Ziel der Landesdatenschutzbehörden, fehlerhafte AV-Verträge aufzudecken. Dabei stehen aber nicht Sanktionen im Vordergrund, sondern vielmehr Sie als Webhoster. Die Behörden wollen Sie beim Abschluss korrekter AV-Verträge unterstützen. Anhand einer Checkliste prüfen die Behörden die Verträge und beurteilen, ob Nachbesserungsbedarf besteht. Dennoch sollten Sie nicht auf eine Prüfung durch die Landesdatenschutzbehörden warten.

PRAXISTIPP

Einige Datenschutzbehörden haben eine Checkliste geschrieben, welche für die datenschutzrechtliche Prüfung verwendet wird und Webhostern zur Verfügung gestellt wird. Anhand dieser Liste können Sie Ihre bestehende Vorlage für AV-Verträge auf mögliche Lücken oder gesetzliche Neuerungen selbst prüfen.

7. Form des AV-Vertrags

Nach Art. 28 Absatz 9 DSGVO muss der AV-Vertrag schriftlich geschlossen werden, jedoch reicht ein elektronisches Format. Was das genau heißt, ist rechtlich noch nicht final geklärt. Laut dem Bayerischen Landesamt für Datenschutzaufsicht ist keine qualifizierte elektronische Signatur erforderlich. Wichtig ist allerdings, dass Sie den Abschluss des AV-Vertrags hinreichend und beweiskräftig dokumentieren. Es kann also bereits ausreichen, wenn Sie den AV-Vertrag per Klick auf eine Checkbox schließen. Wer jedoch sichergehen möchte, schließt AV-Verträge in Textform, etwa per E-Mail-Kommunikation, oder mittels elektronischer Signatur ab.

ZUM BEITRAG

WEITERLESEN

Wenn Sie sich ausführlicher über die Arten der elektronischen Signatur informieren wollen, lesen Sie unseren Beitrag zum Thema: "Sicher, rechtsverbindlich und teils sogar verpflichtend: Nutzen auch Sie die Vorteile qualifizierter elektronischer Signaturen".

ZUM BEITRAG

8. Abschluss von AV-Verträgen

Ein fehlender oder fehlerhafter AV-Vertrag kann Bußgelder in Höhe von mehreren Millionen Euro nach sich ziehen. Laut DSGVO haften der Hoster und der Webseitenbetreiber gemeinsam. Der Abschluss eines AV-Vertrages liegt daher sowohl im Interesse des Webseitenbetreibers als auch im Interesse des Webhosters. Nichtsdestotrotz stehen Hoster häufig vor dem Problem, dass sie jedem einzelnen Kunden “hinterherrennen” müssen, damit diese ihren AV-Vertrag unterzeichnen.

Daher stellen sich viele Webhoster die Frage, ob Sie den AV-Vertrag in Ihre AGB integrieren können. Dies ist möglich, allerdings können Sie den Text Ihres AV-Vertrags nicht einfach in Ihre AGB kopieren. Stattdessen müssen Sie den AV-Vertrag gesondert einbeziehen und eindeutig als solchen kennzeichnen. Außerdem müssen Ihre Kunden die Möglichkeit der ausdrücklichen Zustimmung haben.

ZUM BEITRAG

WEITERLESEN

Sie wollen mehr Details zur Einbindung eines AV-Vertrags in AGB erhalten? Lesen Sie unseren Beitrag zum Thema: "AV-Vertrag DSGVO-sicher in AGB integrieren: Geht das?".

ZUM BEITRAG

Wir empfehlen Ihnen, die Einbindung des AV-Vertrags in Ihre AGB nur mit anwaltlicher Unterstützung vorzunehmen, da spezielle Vorkehrungen getroffen werden müssen und die Anforderungen an die DSGVO einzuhalten sind.

9. Wie erhalte ich einen DSGVO-konformen AV-Vertrag?

Es reicht nicht aus, einfach irgendeinen AV-Vertrag aus dem Internet zu verwenden. Viele AV-Vertragsmuster enthalten rechtliche Fehler oder sind schlicht veraltet. Das kann Ihnen im Falle einer datenschutzrechtlichen Prüfung schnell auf die Füße fallen. Als Webhoster sollten Sie sich daher rechtlich beraten lassen und einen auf Ihre Bedürfnisse zugeschnittenen AV-Vertrag erstellen lassen.

ZUM AV-VERTRAGS-PAKET

Kanzlei Siebert Lexow Lang

Um datenschutzrechtlich auf der sicheren Seite zu stehen, hilft Ihnen die Kanzlei Siebert Lexow Lang bei der Erstellung Ihres individuellen AV-Vertrages sowie bei der Einbindung des AV-Vertrags in Ihre AGB. Gern prüft die Kanzlei auch Ihren bestehenden AV-Vertrag auf Nachbesserungsbedarf, damit Sie teure Abmahnungen vermeiden.

ZUM AV-VERTRAGS-PAKET

Frauke Krüger
Frauke Krueger
Wirtschaftsjuristin und Legal Writerin

Frauke Krüger ist studierte Wirtschaftsjuristin und verstärkt das eRecht24-Team seit 2023 als Legal Writer. Im Rahmen ihres Masterstudiums im internationalen Lizenzrecht hat sie sich auf die Rechtsgebiete des Urheber-, Marken- und Vertragsrechts spezialisiert. Sie begeistert sich für juristische Fragestellungen, die im Zuge der Digitalisierung sowie durch den zunehmenden Einsatz von Künstlicher Intelligenz entstehen.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details