Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kontrolliert die datenschutzrechtlichen Musterverträge, sogenannte Auftragsverarbeitungsverträge, zwischen Webhostern aus Berlin und deren Kund:innen. Auch die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) beteiligen sich an dieser koordinierten Prüfung.
Viele Organisationen betreiben ihre Internetseite oder ihren Online-Shop über einen externen Dienstleister (Webhoster). Dabei werden personenbezogene Daten von Besucher:innen der Seite verarbeitet. Im Regelfall findet diese Verarbeitung im Auftrag des Verantwortlichen, also des Seitenbetreibers, statt. Das heißt, der Webhoster ist datenschutzrechtlich ein Auftragsverarbeiter. Um einen konkreten Rahmen für diese weisungsgebundene Tätigkeit festzulegen, müssen die Betreiber:innen der Internetseite und der Webhoster einen spezifischen Vertrag schließen, den sogenannten Auftragsverarbeitungsvertrag (AVV). Die Datenschutz-Grundverordnung (DS-GVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.
Regelmäßig erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DS-GVO entspricht. Die Prüfung der Aufsichtsbehörden bestätigt diesen Eindruck immer wieder. So sehen beispielsweise viele AVV keine ausreichenden Nachweise des Webhosters darüber vor, dass dieser die vereinbarten Datenschutzmaßnahmen umsetzt. Dies kann zu einem großen Problem für die Seitenbetreiber:innen werden, da sie als Verantwortliche gegenüber den Aufsichtsbehörden und den betroffenen Personen nachweisen können müssen, dass sie die Vorgaben des Datenschutzes einhalten.
Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen AVV zu unterstützen, prüft die Berliner Datenschutzbeauftragte die Musterverträge von ausgewählten großen Webhostern aus Berlin. Die Datenschutzbehörden führen die Prüfung auf der Grundlage einer hierfür entwickelten Checkliste für AVV durch. Die Checkliste wird außerdem den Webhostern zur Verfügung gestellt und ist unter datenschutz-berlin.de/checkliste-avv abrufbar.
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Mit unserer heute beginnenden Prüfung von AV-Verträgen reagieren wir auf viele Anfragen von Berliner Unternehmen und anderen Organisationen. Immer wieder berichten sie uns von mangelhaften Standardverträgen, die die Webhoster nicht gewillt sind zu ändern. Erstmals gibt es mit der Checkliste einen Standard für die AVV-Prüfung, der auch in anderen Bereichen angewendet werden kann. Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT-Dienstleister selbst.“