Datenschutzerklärung für Externes Hosting

(2 Bewertungen, 5.00 von 5)

Was müssen Sie zum externen Hosting wissen?

Wenn Unternehmen eine eigene Webseite veröffentlichen möchten, benötigen sie dafür Speicherplatz im Web. In der Regel lohnt es sich dafür nicht, einen eigenen Server zu betreiben. Dieser ist zeit- und kostenintensiv. Die meisten Webseitenbetreiber greifen daher auf einen externen Hosting-Anbieter zurück, um ihre Seite im Netz zu platzieren. Worauf müssen sie dabei datenschutzrechtlich achten?

Der Punkt "Externes Hosting" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Warum ist externes Hosting datenschutzrechtlich problematisch?

Wenn Unternehmen, Online-Händler oder Nutzer ihre Webseite über einen externen Hosting-Anbieter veröffentlichen, erhält dieser in der Regel automatisch Daten der Webseitenbesucher oder der Kunden. Das können zum Beispiel Name, E-Mail-Adresse und Anschrift sein. Viele Hoster bieten ihren Kunden zudem Serviceleistungen, die sie Daten zum Verhalten der Besucher auf der Webseite erheben und auswerten lassen. Auf diese Weise erhält der Hosting-Anbieter zum Beispiel einen Einblick in IP-Adressen, Kontaktabfragen, Meta- und Kommunikationsdaten, Webseitenzugriffe und Vertragsdaten. Dabei handelt es sich um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Seitenbetreiber müssen daher verschiedene datenschutzrechtliche Pflichten beachten.

Externes Hosting datenschutzkonform nutzen

Um eine Webseite über einen externen Hosting-Anbieter datenschutzkonform betreiben zu können, müssen Seitenbetreiber diesen Pflichten nachkommen:

Vertrag zur Auftragsverarbeitung abschließen

Wenn Dritte Zugriff auf personenbezogene Daten erhalten, um diese weisungsgebunden zu verarbeiten, müssen Webseitenbetreiber mit diesen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das schreibt § 28 DSGVO vor. Bei einer Hosting-Leistung verarbeiten die Anbieter in der Regel personenbezogene Daten der Webseitenbesucher. Es liegt daher eine Auftragsverarbeitung vor. Um dafür geeignete Rahmenbedingungen zu schaffen, müssen Webseitenbetreiber mit dem Hosting-Anbieter einen AV-Vertrag schließen. Dieser regelt dann alle technischen und organisatorischen Maßnahmen, wie zum Beispiel

  • Zugriffshierarchien,
  • Backupregelungen und
  • Dokumentationsformalien.

Grundsätzlich sollte der Vertrag ansprechen, welche Userdaten der externe Hosting-Anbieter wie lange und aus welchem Grund speichert. Und: Der Vertrag sollte alle Rechte und Pflichten der Verantwortlichen aufführen. Wenn Webseitenbetreiber keinen AV-Vertrag mit dem Hosting-Anbieter schließen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 Prozent des weltweiten Jahresumsatzes. Das erlaubt Art. 83 Abs. 4 lit. a DSGVO.

Sonderfall Access-Provider

Wenn Webseitenbetreiber lediglich einen Access-Provider nutzen, kann es sein, dass kein AV-Vertrag notwendig ist. Das ist der Fall, wenn sie den Speicherplatz im Web lediglich verwenden, um ihre Webseite zu hosten, Daten zu transportieren und sonst keine weiteren Services in Anspruch nehmen. Sie erheben dann keine personenbezogenen Daten über den Hosting-Anbieter.

Sonderfall Dienstleister für Wartung

Wenn Unternehmen einen eigenen Server betreiben, für dessen Wartung sie jedoch einen Dienstleister beauftragen, könnte ein AV-Vertrag notwendig sein. Denn: Der Dienstleister könnte dann Zugriff auf personenbezogene Daten haben. Das Bayerische Landesamt für Datenschutz geht davon aus, dass in so einem Fall eine Auftragsverarbeitung vorliegt.

Datenschutzerklärung anpassen

Webseitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie einen externen Hosting-Anbieter nutzen. Dabei sollten sie aufführen,

  • dass sie diesen nutzen, um ein sicheres und schnelles Online-Angebot bereitstellen zu können,
  • warum und wie der Hosting-Anbieter so personenbezogene Daten erhält,
  • wie lange dieser die personenbezogenen Daten speichert,
  • welche Rechtsgrundlage das erlaubt und
  • dass User der Einwilligung in die Datenerhebung jederzeit widersprechen können.

Diese Pflichten schreibt § 13 Abs. 1 DSGVO vor. Daneben sollten Webseitenbetreiber in ihrer Datenschutzerklärung erwähnen, dass sie mit dem Hosting-Anbieter einen AV-Vertrag geschlossen haben.

Rechtsprechung zu externem Hosting

Für externes Hosting ist diese Rechtsprechung relevant:

Datenschutzbehörde Hamburg zum AV-Vertrag

Die Datenschutzbehörde Hamburg hat am 17.12.2018 einen Bußgeldbescheid erlassen, da ein Versandunternehmen mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen hatte. Das Unternehmen musste daher eine Strafe von 5.000 Euro zuzüglich 250 Euro Gebühren zahlen. Diese oder eine ähnliche Strafe droht auch Webseitenbetreibern, die keinen AV-Vertrag mit einem externen Hosting-Anbieter schließen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Die Datenschutzbehörde Baden-Württemberg sprach gegen den Fußball-Bundesligaclub VfB Stuttgart ein Bußgeld in Höhe von 300.000 Euro aus. Der Verein hatte mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, ohne mit diesen einen AV-Vertrag zu schließen. Das stufte die Behörde als schweren Verstoß gegen die DSGVO ein. Dabei hätte das Bußgeld noch deutlich höher ausfallen können. Der Verein zeigte sich jedoch besonders kooperativ, so dass es bei den 300.000 Euro blieb.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6528 Bewertungen, 4.38 von 5)