Was ist Mittwald?
Mittwald ist ein Internetdienstleister, bei dem Unternehmen Services in den Bereichen CMS, Hosting und Server buchen können. Der Anbieter sitzt in Espelkamp in NRW und beschäftigt rund 180 Mitarbeiter. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie Leistungen von Mittwald in Anspruch nehmen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Mittwald datenschutzrechtlich relevant?
Mittwald verarbeitet und speichert Daten seiner Kunden. Welche genau das sind, hängt von der gebuchten Dienstleistung ab. Hosten Unternehmen ihre Webseite oder verwalten sie ihre E-Mails bei dem Anbieter, erhält Mittwald Einblick in personenbezogene Kundendaten. Das können beispielsweise
- Namen,
- Adressen,
- E-Mail-Adressen und
- Telefonnummern.
sein. Dabei handelt es sich um personenbezogene Daten. Unternehmen müssen daher verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.
So können Seitenbetreiber Mittwald DSGVO-konform verwenden
Die DSGVO und das TDDDG (ehemals TTDSG) schreiben Seitenbetreibern diese Pflichten vor, wenn sie bei Mittwald personenbezogene Daten hosten:
Vertrag zur Auftragsverarbeitung schließen
Speichern Unternehmen personenbezogene Kundendaten bei Mittwald, erhält ein Dritter Zugriff darauf, um diese weisungsgebunden zu verarbeiten. Das ist nur rechtlich zulässig, wenn Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht ergibt sich aus Art. 28 DSGVO. Bei Mittwald können sie den Vertrag im Kundencenter unter „Vertragsdaten“ eingehen. Unternehmen sollten den Vertrag überprüfen, ob dieser angibt,
- welche Daten sie an Mittwald weiterreichen,
- wie lange Mittwald die Daten speichert,
- warum Mittwald die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Mit der Weitergabe personenbezogener Kundendaten müssen Unternehmen auch ihre Datenschutzerklärung aktualisieren. Sie müssen aufführen,
- dass sie Mittwald als Dienstleister nutzen,
- welche Leistungen von Mittwald sie in Anspruch nehmen,
- warum Mittwald dabei personenbezogene Daten erhält,
- welche Rechtsgrundlage das erlaubt,
- dass sie für die Datenweitergabe einen AV-Vertrag mit Mittwald geschlossen haben und
- dass User ihre Einwilligung in die Datenweitergabe jederzeit widerrufen können.
Diese Pflichten schreibt die DSGVO in Art. 13 vor.
Um besser verstehen zu können, wie Mittwald personenbezogene Daten verarbeitet und speichert, sollten Unternehmen in ihrer Datenschutzerklärung zusätzlich auf die Datenschutzbestimmungen und Nutzungsbedingungen des Internetdienstanbieters verweisen. Nutzer können dann selbst überprüfen, was mit ihren Daten bei Mittwald passiert.
Rechtsprechung zu Mittwald
Buchen Unternehmen Leistungen bei Mittwald, sind diese Urteile für sie relevant:
Datenschutzbehörde Hamburg zum AV-Vertrag
Wer schützenswerte Daten ohne rechtliche Grundlage an Dritte übermittelt, riskiert ein Bußgeld. Ein fehlender AV-Vertrag kann dabei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes kosten. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor.
Ein deutsches Versandunternehmen musste daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zzgl. 250 Euro Gebühren zahlen. Es hatte einen spanischen Postdienstleister beauftragt, der Zugriff auf personenbezogene Daten des Versandunternehmens erhielt, um diese weisungsgebunden zu verarbeiten. Dafür schlossen die beiden Parteien jedoch keinen AV-Vertrag. Die Datenschutzbehörde Hamburg stellte daher einen Verstoß gegen die DSGVO fest.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußballclub VfB Stuttgart hatte zwischen 2016 und 2018 verschiedene Dienstleister beauftragt. Diese verarbeiteten für den Verein mehrere tausend Mitgliederdaten. Der VfB verpasste es jedoch, für die Zusammenarbeit mit den Dienstleistern AV-Verträge zu schließen. Die Verträge hätte der Verein jedoch benötigt, um die Datenübermittlung zulässig zu gestalten – so das Urteil der Datenschutzbehörde Baden-Württemberg. Sie legte daher im März 2021 eine Strafe in Höhe von 300.000 Euro fest.