hosting vertrag dsgvo

Hosting-Vertrag DSGVO-konform gestalten

/ Allgemein, IT-Recht / DSGVO, Hosting

Rechtssicherheit für Ihr Unternehmen

Bei der Gestaltung eines DSGVO-konformen Hosting-Vertrags ist der Auftragsverarbeitungsvertrag (AVV) das entscheidende Element. Als Websitebetreiber sind Sie der „Verantwortliche“ im Sinne der DSGVO, während Ihr Hosting-Anbieter als „Auftragsverarbeiter“ fungiert. Diese Konstellation erfordert einen rechtssicheren AVV nach Art. 28 DSGVO, der wesentliche Aspekte wie Verarbeitungszwecke, technisch-organisatorische Maßnahmen und Subunternehmer-Regelungen abdeckt. Versäumnisse bei der vertraglichen Gestaltung können zu empfindlichen Bußgeldern führen. Als Datenschutzbeauftragter und Spezialist für IT-Recht berate ich Sie gerne im Detail.

Besondere Vorsicht ist bei Hosting-Verträgen mit Anbietern geboten, deren Server außerhalb der EU stehen. Nach dem „Schrems II“-Urteil des EuGH müssen zusätzliche Schutzmaßnahmen implementiert werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Hierzu zählen ergänzende technische Maßnahmen wie Ende-zu-Ende-Verschlüsselung sowie eine dokumentierte Datentransfer-Folgenabschätzung. Diese komplexen Anforderungen machen eine anwaltliche Beratung bei Hosting-Konstellationen besonders wertvoll.

Kontakt aufnehmen
Inhaltsübersicht
  1. Rechtssicherheit für Ihr Unternehmen
  2. Das Wichtigste im Überblick
  3. Warum DSGVO-konforme Hosting-Verträge unverzichtbar sind
  4. Kernelemente eines DSGVO-konformen Hosting-Vertrags
  5. Haftungsrisiken und ihre Minimierung
  6. Praktische Tipps für die Vertragsgestaltung
  7. Häufig gestellte Fragen 
  8. Verwandte Themen

Das Wichtigste im Überblick

  • Ein DSGVO-konformer Hosting-Vertrag muss zwingend einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO enthalten, der die Verantwortlichkeiten klar abgrenzt und technisch-organisatorische Maßnahmen definiert.
  • Bei der Auswahl von Hosting-Anbietern mit Sitz außerhalb der EU sind spezielle Transfermechanismen nach Art. 44 ff. DSGVO notwendig, um rechtssichere Datenübermittlungen zu gewährleisten.
  • In erster Linie haftet das Unternehmen für Datenschutzverstöße. Eine Haftung des Geschäftsführers oder Vorstands kommt nur im Innenverhältnis in Betracht.

Warum DSGVO-konforme Hosting-Verträge unverzichtbar sind

Wenn Sie als Unternehmen eine Website, einen Online-Shop oder andere digitale Dienste betreiben, sind Sie auf einen zuverlässigen Hosting-Anbieter angewiesen. Doch mit dem Hosting gehen auch datenschutzrechtliche Verpflichtungen einher. Ihr Hosting-Anbieter erhält Zugriff auf sämtliche Daten, die auf Ihren Servern gespeichert sind – darunter möglicherweise auch personenbezogene Daten Ihrer Kunden, Mitarbeiter oder Geschäftspartner.

Kernelemente eines DSGVO-konformen Hosting-Vertrags

Der Auftragsverarbeitungsvertrag (AVV) als Pflichtbestandteil

Das Herzstück jedes DSGVO-konformen Hosting-Vertrags ist der Auftragsverarbeitungsvertrag (AVV). Art. 28 DSGVO schreibt vor, dass die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter auf Grundlage eines Vertrags erfolgen muss, der den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung festlegt.

Ein rechtssicherer AVV muss folgende Elemente enthalten:

  1. Klare Definition der Verantwortlichkeiten: Wer ist Verantwortlicher, wer ist Auftragsverarbeiter?
  2. Umfang und Zweck der Datenverarbeitung: Welche Daten werden verarbeitet und zu welchem Zweck?
  3. Technische und organisatorische Maßnahmen (TOM): Wie werden die Daten geschützt?
  4. Regelungen zu Subunternehmern: Darf der Hosting-Anbieter weitere Dienstleister einschalten?
  5. Weisungsrechte des Verantwortlichen: Wie können Sie als Kunde Einfluss auf die Datenverarbeitung nehmen?
  6. Unterstützungspflichten: Wie unterstützt Sie der Hosting-Anbieter bei Betroffenenanfragen oder Datenschutzvorfällen?
  7. Löschung und Rückgabe von Daten: Was passiert mit den Daten nach Vertragsende?

Technisch-organisatorische Maßnahmen (TOM)

Ein häufig vernachlässigter, aber entscheidender Bestandteil des AVV sind die technisch-organisatorischen Maßnahmen. Art. 32 DSGVO verlangt angemessene Schutzmaßnahmen für personenbezogene Daten.

Diese umfassen unter anderem:

  • Verschlüsselung von Daten
  • Gewährleistung der Vertraulichkeit und Integrität der Systeme
  • Rasche Wiederherstellbarkeit bei technischen Störungen
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen

Ein DSGVO-konformer Hosting-Vertrag sollte diese Maßnahmen nicht nur allgemein erwähnen, sondern konkret beschreiben. Nur so können Sie als Verantwortlicher Ihrer Rechenschaftspflicht nachkommen.

Haftungsrisiken und ihre Minimierung

Bußgelder und Haftung bei DSGVO-Verstößen

Die DSGVO sieht empfindliche Sanktionen in Form von Bußgeldern bei Verstößen vor. Als Verantwortlicher haften Sie auch für Verstöße, die durch Ihren Hosting-Anbieter verursacht werden.

Besonders heikel: Geschäftsführer und andere Leitungsorgane können persönlich zur Verantwortung gezogen werden, wenn sie keine angemessenen Maßnahmen zur Einhaltung der DSGVO getroffen haben.

Dokumentationspflichten zur Haftungsminimierung

Um Haftungsrisiken zu minimieren, sollten Sie folgende Maßnahmen ergreifen:

  1. Sorgfältige Auswahl des Hosting-Anbieters
  2. Regelmäßige Überprüfung der Vertragskonformität
  3. Dokumentation aller Weisungen
  4. Meldekette bei Datenschutzvorfällen

Praktische Tipps für die Vertragsgestaltung

Checkliste: Prüfung bestehender Hosting-Verträge

  • Existiert ein AVV mit allen gesetzlich vorgeschriebenen Inhalten?
  • Sind die technisch-organisatorischen Maßnahmen ausreichend beschrieben?
  • Gibt es Regelungen zu Subunternehmern und deren Kontrolle?
  • Sind Ihre Weisungsrechte klar definiert?
  • Wie ist die Unterstützung bei Betroffenenanfragen geregelt?
  • Sind Meldepflichten bei Datenschutzverletzungen festgelegt?
  • Gibt es klare Regelungen zur Datenrückgabe und -löschung?
  • Bei Anbietern außerhalb der EU: Existieren zusätzliche Garantien für den Datentransfer?

Häufig gestellte Fragen 

Muss ich mit jedem Hosting-Anbieter einen AVV abschließen?

Ja, sobald der Hosting-Anbieter im Rahmen seiner Tätigkeit Zugriff auf personenbezogene Daten erhält oder haben könnte, ist ein AVV nach Art. 28 DSGVO verpflichtend. Dies gilt auch dann, wenn der Anbieter selbst keine aktive Datenverarbeitung vornimmt, sondern lediglich die technische Infrastruktur bereitstellt.

Reicht der Standard-AVV meines Hosting-Anbieters aus?

In vielen Fällen erfüllen die Standard-AVVs großer Anbieter nicht alle gesetzlichen Anforderungen oder sind einseitig zugunsten des Anbieters formuliert. Eine individuelle Prüfung und gegebenenfalls Anpassung ist daher dringend anzuraten.

Was droht mir bei einem fehlenden oder mangelhaften AVV?

Bei Verstößen gegen die DSGVO-Vorgaben drohen Bußgelder. Zudem können Betroffene Schadensersatzansprüche geltend machen und Wettbewerber Abmahnungen aussprechen.

Wie kann ich prüfen, ob mein Hosting-Anbieter Subunternehmer einsetzt?

Fordern Sie von Ihrem Anbieter eine vollständige Liste aller eingesetzten Subunternehmer an. Nach Art. 28 Abs. 2 DSGVO muss der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen in Bezug auf Subunternehmer informieren.

Welche Kontrollrechte habe ich gegenüber meinem Hosting-Anbieter?

Als Verantwortlicher haben Sie das Recht und die Pflicht, die Einhaltung der Datenschutzbestimmungen durch Ihren Auftragsverarbeiter zu überprüfen. Dies kann durch Vor-Ort-Audits, die Vorlage von Zertifizierungen oder durch Berichte unabhängiger Prüfer erfolgen.

Was muss bei einer Kündigung des Hosting-Vertrags beachtet werden?

Der AVV sollte klare Regelungen zur Datenrückgabe und -löschung nach Vertragsende enthalten. Wichtig ist, dass Sie als Verantwortlicher Ihre Daten in einem gängigen Format zurückerhalten und der Hosting-Anbieter anschließend nachweislich alle Kopien löscht.

Bin ich auch für Datenschutzverletzungen meines Hosting-Anbieters verantwortlich?

Grundsätzlich ja, da Sie als Verantwortlicher die Gesamtverantwortung tragen. Allerdings können Sie Ihr Haftungsrisiko durch einen sorgfältig formulierten AVV mit klaren Haftungsregelungen und durch eine dokumentierte sorgfältige Auswahl des Anbieters reduzieren.

Welche technisch-organisatorischen Maßnahmen sollte mein Hosting-Anbieter nachweisen können?

Der Anbieter sollte mindestens Maßnahmen zur Zugriffskontrolle, Verschlüsselung, Firewall-Schutz, regelmäßige Backups, Patch-Management und ein Notfallkonzept implementiert haben. Diese Maßnahmen sollten konkret beschrieben und nicht nur allgemein erwähnt werden.

Wie oft sollte ich meinen Hosting-Vertrag überprüfen lassen?

Eine regelmäßige Überprüfung ist empfehlenswert, insbesondere bei Änderungen der Rechtslage oder wesentlichen Änderungen in Ihrem Unternehmen. Als Faustregel gilt: Mindestens alle zwei Jahre oder bei jeder Vertragsänderung sollte eine Prüfung erfolgen.

Welche Rolle spielen Zertifizierungen bei der Auswahl eines datenschutzkonformen Hosting-Anbieters?

Zertifizierungen können bei der Auswahl eines geeigneten Hosting-Anbieters wichtige Anhaltspunkte liefern. Nach Art. 28 Abs. 5 DSGVO können genehmigte Zertifizierungen als Element zum Nachweis hinreichender Garantien dienen. Allerdings ersetzen Zertifizierungen nicht die vertraglichen Pflichten – sie sind lediglich ein Indiz für ein gewisses Datenschutzniveau. Prüfen Sie stets, welche konkreten Bereiche von der Zertifizierung abgedeckt werden und ob diese aktuell sind. Ein guter Hosting-Anbieter wird seine Zertifizierungen transparent kommunizieren und Ihnen auf Anfrage die entsprechenden Nachweise zur Verfügung stellen.

Kontakt aufnehmen

Verwandte Themen

Nach oben scrollen