Was macht DomainFactory?
DomainFactory ist ein deutscher Webhosting-Anbieter. Unternehmen können bei diesem sowohl klassische Hosting-Angebote sowie Domains und einen Homepage-Baukasten buchen. DomainFactory wurde im Jahr 2000 gegründet und verwaltet heute für rund 220.000 Kunden über 1,3 Millionen Domains. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie Leistungen von DomainFactory in Anspruch nehmen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist DomainFactory datenschutzrechtlich relevant?
Unternehmen erheben über DomainFactory Nutzerdaten. Bei einem Hosting-Paket oder dem Homepage-Baukasten von DomainFactory geben sie beispielsweise automatisch personenbezogene Daten wie
- Kundennamen,
- Adressen,
- E-Mails und
- Telefonnummern
an den Anbieter weiter. Dafür müssen Unternehmen verschiedene datenschutzrechtliche Vorschriften beachten.
Zudem speichert DomainFactory seine Kundendaten zwar in Köln sowie im französischen Strasbourg und damit in der EU. Seitdem der Anbieter jedoch von GoDaddy in 2017 übernommen wurde, verarbeitet DomainFactory Kundendaten über einen Dienstleister in der Ukraine – und damit außerhalb der EU. Auch dafür müssen Unternehmen datenschutzrechtliche Pflichten erfüllen.
DomainFactory datenschutzkonform nutzen
Je nach gebuchten Leistungen müssen Unternehmen bei DomainFactory andere datenschutzrechtliche Vorgaben beachten. Bei Leistungen wie Hosting oder Homepage-Baukasten müssen sie in der Regel jedoch diese Pflichten aus der Datenschutz-Grundverordnung (DSGVO) erfüllen:
Vertrag zur Auftragsverarbeitung schließen
Unternehmen erheben über DomainFactory sensible Kundendaten und geben diese an den Anbieter weiter. So kann ein Dritter personenbezogene Daten einsehen und (weisungsgebunden) verarbeiten. Dafür benötigen Unternehmen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit DomainFactory. Sie können diesen online bei DomainFactory unterzeichnen und müssen den Vertrag dann per Mail an den Anbieter schicken. Vor Unterzeichnung sollten Unternehmen prüfen, ob der Vertrag festhält,
- welche Daten sie an DomainFactory übergeben,
- wie lange DomainFactory die Daten speichert,
- warum Domainfactory die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung aktualisieren
Unternehmen müssen in ihrer Datenschutzerklärung darüber aufklären,
- welche Leistungen sie von DomainFactory nutzen,
- welche personenbezogenen Daten sie dabei erheben,
- warum DomainFactory dabei personenbezogene Daten erhält,
- welche Rechtsgrundlage das erlaubt,
- dass sie für die Datenweitergabe einen AV-Vertrag mit DomainFactory geschlossen haben und
- dass Nutzer ihre Einwilligung in die Datenerhebung und Datenweitergabe jederzeit widerrufen können.
Diese Pflichten ergeben sich aus Art. 13 DSGVO. Um Nutzern einen besseren Einblick in die Verarbeitung ihrer Daten bei DomainFactory zu geben, sollten Unternehmen zudem auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Standardvertragsklauseln mit DomainFactory abschließen?
DomainFactory verarbeitet Kundendaten in der Ukraine und damit in einem Drittland außerhalb der EU. Es ist jedoch nicht klar, welche Daten DomainFactory an den Dienstleister in der Ukraine weitergibt. Sollte es sich dabei um sensible Kundendaten wie Namen und Bankdaten handeln, müssen Unternehmen Standardvertragsklauseln mit DomainFactory abschließen. Ob das derzeit notwendig und möglich ist, ist unklar.
Datenschutzprobleme bei DomainFactory
Im Juli 2018 wurde DomainFactory Opfer eines Cyberangriffs. Dabei konnte ein Hacker sensible Kundendaten wie Namen, Anschriften und Passwörter erbeuten. Er gab jedoch an, die Daten weder veröffentlicht, noch verkauft zu haben.
Rechtsprechung zu DomainFactory
Für DomainFactory ist diese Rechtsprechung relevant:
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Grundsätzlich erlaubt die DSGVO ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wenn Unternehmen mit Dritten keinen AV-Vertrag schließen. Das ermöglicht Art. 83 Abs. 4 lit. a DSGVO. Der Fußball-Bundesligaclub VfB Stuttgart musste daher im März 2021 eine Strafe in Höhe von 300.000 Euro zahlen. Der Grund: Das Unternehmen hatte zwischen 2016 und 2018 wiederholt Mitgliederdaten an Dritte zur Verarbeitung übermittelt. Dafür lag jedoch kein AV-Vertrag vor. Damit fehlte die Rechtsgrundlage für die Datenweitergabe. Die Datenschutzbehörde Baden-Württemberg sprach daher die Strafe für den Datenschutzverstoß aus.
Datenschutzbehörde Hamburg zum AV-Vertrag
5.000 Euro musste ein deutsches Versandunternehmen bezahlen. Es hatte keinen AV-Vertrag mit einem spanischen Postdienstleister geschlossen. Das Versandunternehmen hatte sich nicht verantwortlich gesehen, den Vertrag selbst aufzusetzen. Stattdessen sah es den Postdienstleister in der Pflicht. Dem widersprach die Datenschutzbehörde Hamburg. Sie ließ wissen, dass beide Seiten für einen AV-Vertrag verantwortlich sind. Sie verhängte daher das Bußgeld.