Die Wahl eines Internet Service Providers ist von vielen Faktoren bestimmt. Neben den technischen Anforderungen an Skalierbarkeit und Verfügbarkeit spielt für viele IT-Entscheider der Preis eine große Rolle.
Sind die Anforderungen an Skalierbarkeit, Verfügbarkeit, sowie Support gar nicht vorhanden oder nicht sonderlich hoch bietet es sich auf den ersten Blick an, auf Anbieter zurückzugreifen, die diese Dienstleistungen in der breiten Masse vertreiben um von den Einkaufsvorteilen zu profitieren und in diesem Bereich die Kosten um einige Prozentpunkte zu senken.
Das klingt verlockend, zumal so ein Vertrag bei einem Anbieter, der sich auf die breite Masse spezialisiert hat, direkt online ausgefüllt und abgesendet werden kann. Die Zugangsdaten erhält der Vertragspartner innerhalb weniger Minuten nach der Bestellung.
Vielfach werden von IT-Entscheidern aber die rechtlich erforderlichen Rahmenbedingen außer Acht gelassen. Oft müssen eine Vielzahl von gesetzlichen Datenschutzvorschriften eingehalten werden. Ist dies nicht der Fall drohen hohe Bußgelder und Schadensersatzzahlungen.
Verträge über Server-Lösungen: Auftragsverarbeitung
Denn es wird oftmals verkannt, dass es sich in der Regel bei den Beziehungen zum ISP um ein Auftragsverhältnis gemäß § 11 BDSG handelt.
Dieses liegt nach § 11 Abs. 1 BDSG vor, wenn „der Auftraggeber einen externen Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung von Daten beauftragt hat“. Man könnte meinen, dass diese Voraussetzungen in dem Vertragsverhältnis zum ISP nicht gegeben sind. Jedoch wird der Umfang durch § 11 Abs. 5 BDSG erheblich erweitert, indem festgelegt wird, dass die Vorschriften auch im Rahmen von Prüfungs- & Wartungsverträgen anwendbar sind, sofern dabei „der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“.
Denkbare ist neben dem externen Programmierer auch an den ISP, der im Regelfall Zugriff auf den Servern haben muss (z.B. Neustart der Systeme, Updates, etc.).
Wird auf diesen Systemen, wie allgemein üblich, z.B. Kundendaten oder beispielsweise Datenbanken mit Newsletterabonnementen gespeichert, so handelt es sich immer auch um personenbezogene Daten.
Voraussetzungen an den Vertragspartner
Liegt ein Auftragsverhältnis nach § 11 Abs. 1 BDSG vor, ist es erforderlich, dass die Voraussetzungen des Abs. 2 erfüllt sind. Insbesondere muss der Auftragnehmer sorgfältig ausgewählt werden, ob er die technischen und organisatorischen Maßnahmen, die das BDSG erfordert, erfüllt.
Schriftliche (!) Vereinbarung mit dem Auftragnehmer
Überdies ist ein 10-Punkte-Katalog in die Vereinbarung gem. Abs. 2 mit dem Auftragnehmer aufzunehmen:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Fortlaufende Überprüfung
Der einmalige Abschluss dieser Vereinbarung ist aber nicht ausreichend. Nach § 11 Abs. 2 S. 3 BDSG hat der Auftragnehmer regelmäßig die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überprüfen und dieses Ergebnis zu dokumentieren. Denkbar sind hier etwa Vor-Ort Kontrollen durch den Auftragnehmer selbst oder durch Sachverständige oder aber eine schriftliche Beschreibung durch den Auftraggeber. Der Umfang ist abhängig vom Umfang und Gefahren, denen die Daten ausgesetzt sind.
Bußgeld- / Schadensersatzzahlungen
Bei Nichtbeachtung der Vorschriften können Bußgelder bis zu 50.000 Euro verhängt werden.
Ferner können die Personen, deren Daten betroffen sind, Schadensersatz vom Auftraggeber verlangen. Dieser Schadensersatz kann das Bußgeld je nach Umständen um ein vielfaches übersteigen. Bestand keine Vereinbarung über die Auftragsdatenverarbeitung, wird es schwierig sein die eigene Unschuld nachzuweisen
Fazit
Sofern Sie die Dienstleistungen eines ISPs gewerblich nutzen und im o.g. Rahmen personenbezogene Daten verarbeiten möchten, ist eine individuelle Planung und vertragliche Gestaltung unerlässlich.
Hostway Deutschland unterstützt Sie auf Wunsch nicht nur bei der technischen Auswahl Ihrer Infrastruktur, sondern wird auch den Voraussetzungen des BDSG gerecht. Wir bieten Ihnen im Rahmen der Vertragsgestaltung gerne Verträge an, die diese Voraussetzungen erfüllen und unterstützen Sie während der Vertragsdurchführung, Ihren fortlaufenden Prüfungspflichten gerecht zu werden.
Informieren Sie sich bei uns unter 0511 712 60 – 140 oder per E-Mail vertrieb@hostway.de
