Prüfung von Auftragsverarbeitungsverträgen durch die Behörden

In diesem Monat begann eine Prüfung von Auftragsverarbeitungsverträgen durch die Behörden. Genauer gesagt geht es um die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt, Bayern (LDA) und Berlin. Demnach kündete u. a. die Berliner Beauftragte für Datenschutz und Informationsfreiheit diese Aktion mit speziellem Bezug auf die Prüfung der Verträge von Webhostern an. Die Pressemitteilung der Berliner Aufsichtsbehörde ist unter diesem Link zu finden.

Der Begriff „Webhosting“

Unter Webhosting kennen wir Unternehmen (in diesem Fall: Webhoster), welche Webseiten-Speicherraum auf einem Server bereitstellen. Dieser Speicherraum ist aus dem Internet aus erreichbar, also indem ein Nutzer die jeweilige Internet-Adresse eingibt. Weiterführend stellt dieser Anbieter dann also auch Speicher für den Webseiten-Betrieb zur Verfügung.

Auftragsverarbeitung

Bei Webhostern handelt es sich regelmäßig um Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Dies bedeutet, dass neben dem Hauptvertrag auch ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen ist.

Weshalb nun die spezielle Aufmerksamkeit der Datenschutzaufsichtsbehörden?

Nach Aussage der Datenschutzaufsichtsbehörden traten immer wieder Verantwortliche – in diesem Bericht auf die Webseiten-Betreiber bezogen – an sie heran. Demnach legten die Webhoster mangelhafte Auftragsverarbeitungsverträge zur Unterschrift vor. Bemängelten die Verantwortlichen dies, zeigte sich nach Berichten keine Bereitschaft, die Verträge anzupassen, um den Anforderungen der DSGVO zu entsprechen. Also treten nun die Landesbehörden unterstützend in Aktion. Zum einen werden die Aufsichtsbehörden der jeweiligen Bundesländer ausgewählte Unternehmen kontaktieren, um deren Auftragsverarbeitungsverträge zu prüfen. Zum anderen haben sie aber auch eine Checkliste zur Überprüfung von Verträgen gemäß Art. 28 Abs. 3 DSGVO bereitgestellt. Art. 28 Abs. 3 DSGVO gibt vor, was in einem Auftragsverarbeitungsvertrag zu klären ist. Die Checkliste dagegen geht etwas mehr ins Detail und erläutert u. a. mögliche Formulierungen und Gestaltungsmöglichkeiten einzelner Passagen eines Auftragsverarbeitungsvertrages.

Fazit

Wie die Aufsichtsbehörden in den Pressemitteilungen verlauten lassen, haben sie nicht nur die Befugnisse, Bußgelder gegen die Verantwortlichen zu verhängen. Separat von einem Vertragsverhältnis betrachtet sind übrigens auch die Webhoster Verantwortliche, die die Vorgaben der DSGVO einhalten müssen. Wir empfehlen also, schnellstmöglich – sofern noch nicht geschehen – Vertragsverhältnisse zu prüfen. So können Verantwortliche zuallererst feststellen, ob eine Auftragsverarbeitung vorliegt. Wenn ja, kann die jeweilige Einrichtung bei Bedarf die DSGVO-Konformität des jeweiligen Auftragsverarbeitungsvertrages sicherstellen. Ist dieser nicht vorhanden oder nicht der DSGVO entsprechend, empfehlen wir, solch einen dringend abzuschließen. Aktuell konzentriert sich diese Aktion auf einige Bundesländer. Die Webhoster haben aber oftmals Vertragspartner (Verantwortliche) in verschiedenen Bundesländern. Folglich ist nicht ausgeschlossen, dass auch diese von einer zukünftigen Prüfung betroffen sein könnten.

Nun können wir nachvollziehen, dass Sie möglicherweise nicht die Kapazitäten und Ressourcen haben, Auftragsverarbeitungsverträge eingehend zu überprüfen und ggf. datenschutzkonforme Verträge herbeizuführen oder gar selbst zu erstellen. Dabei können wir Sie unterstützen. Kontaktieren Sie uns gern noch heute für ein kostenfreies Erstgespräch, worauf unser unverbindliches Angebot für Sie aufbaut.