Auftragsverarbeitung im Kontext von Webhosting bezieht sich auf die Verarbeitung personenbezogener Daten durch einen Webhosting-Dienstleister im Auftrag des Datenverantwortlichen (z.B. eines Unternehmens oder einer Organisation). Dies ist besonders relevant im Rahmen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die strenge Regeln für den Umgang mit personenbezogenen Daten festlegt.
Definition und rechtlicher Rahmen
Auftragsverarbeiter und Verantwortlicher
- Auftragsverarbeiter: Ein Unternehmen oder Dienstleister, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Fall von Webhosting ist der Webhoster der Auftragsverarbeiter.
- Verantwortlicher: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Rechtliche Anforderungen
Gemäß Artikel 28 der DSGVO muss ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgeschlossen werden. Dieser Vertrag stellt sicher, dass der Auftragsverarbeiter die Daten nur gemäß den Anweisungen des Verantwortlichen und unter Einhaltung der DSGVO verarbeitet.
Inhalte eines AV-Vertrags
Ein Auftragsverarbeitungsvertrag muss bestimmte Mindestanforderungen erfüllen, darunter:
- Gegenstand und Dauer der Verarbeitung: Beschreibung der Datenverarbeitungsaktivitäten und deren Dauer.
- Art und Zweck der Verarbeitung: Erläuterung, warum und wie die Daten verarbeitet werden.
- Art der personenbezogenen Daten und Kategorien betroffener Personen: Angabe der Art der verarbeiteten Daten und der betroffenen Personengruppen.
- Pflichten und Rechte des Verantwortlichen: Festlegung der Verantwortlichkeiten des Datenverantwortlichen.
- Pflichten des Auftragsverarbeiters: Verpflichtung des Auftragsverarbeiters zur Einhaltung der DSGVO, einschließlich der Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten.
Pflichten des Webhosters als Auftragsverarbeiter
Sicherheit der Verarbeitung
Der Webhoster muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies umfasst Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.
Unterstützung des Verantwortlichen
Der Webhoster muss den Verantwortlichen dabei unterstützen, die Rechte der betroffenen Personen zu wahren, z.B. bei der Erfüllung von Auskunfts- oder Löschungsanfragen.
Meldung von Datenschutzverletzungen
Der Webhoster ist verpflichtet, den Verantwortlichen unverzüglich über Datenschutzverletzungen zu informieren, damit dieser die notwendigen Schritte zur Meldung der Verletzung an die Aufsichtsbehörde und die betroffenen Personen einleiten kann.
Nachweis der Einhaltung
Der Webhoster muss dem Verantwortlichen nachweisen können, dass er die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datenschutzmaßnahmen einhält. Dies kann durch Audits und Inspektionen geschehen, die der Verantwortliche durchführen oder von Dritten durchführen lassen kann.
Fazit
Auftragsverarbeitung im Webhosting-Kontext ist ein zentraler Bestandteil der DSGVO-Compliance. Es stellt sicher, dass personenbezogene Daten, die von einem Webhoster verarbeitet werden, gemäß den strengen Datenschutzanforderungen der DSGVO behandelt werden. Ein detaillierter Auftragsverarbeitungsvertrag ist unerlässlich, um die Rechte und Pflichten beider Parteien klar zu definieren und die Sicherheit und Integrität der verarbeiteten Daten zu gewährleisten.
