Checkliste zur Prüfung von Auftragsverarbeitungsverträgen (AVV) mit Webhostern

Checkliste zur Prüfung von Auftragsverarbeitungsverträgen (AVV) mit Webhostern

DS-GVO-konforme AVV-Checkliste + Ausfüllhinweise

Viele Unternehmen lassen ihren Internetauftritt von externen Dienstleistern (Webhostern) betreuen. Für das Betreiben eines Internetauftritts und damit auch für die Verarbeitung personenbezogener Daten von Nutzern dieser Website ist letztlich der Betreiber der Website verantwortlich. Die Webhoster sind weisungsgebundene Auftragsverarbeiter. Um die Zusammenarbeit von verantwortlichen Betreibern und weisungsgebundenen Auftragsverarbeitern zu regeln, schließen Betreiber und Webhoster einen Vertrag zur Auftragsverarbeitung (AVV). Welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden, definiert die Datenschutz-Grundverordnung (DS-GVO).

Unter Federführung der Berliner Datenschutzbehörde haben die Datenschutzbehörden von Bayern (BayLDA), Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt nun eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen mit Webhostern veröffentlicht. Wir stellen Ihnen diese Checkliste und ein weiteres Dokument mit den Hinweisen zum Ausfüllen dieser Download zur Verfügung.

Einhalten von Datenschutzvorgaben

Die Checkliste soll sowohl den verantwortlichen Betreibern der Webseite als auch den auftragsverarbeitenden Webhostern bei der Prüfung von Auftragsverarbeitungsverträgen (AVV) helfen. Derzeit genügen zahlreiche AVV nicht den Anforderungen der DS-GVO. So sehen beispielsweise viele Auftragsverarbeitungsverträge aktuell keine ausreichenden Nachweise des Webhosters für die Umsetzung der vereinbarten Datenschutzmaßnahmen vor. Die Betreiber von Webseiten müssen als Verantwortliche aber im Bedarfsfall nachweisen können, dass die Datenschutzvorgaben eingehalten sind. Anhand der nun veröffentlichten Checkliste kann überprüft werden, ob der jeweilige AVV alle notwendigen Regelungen enthält, um die Anforderungen der DSGVO, insbesondere von Art. 28 DSGVO, zu erfüllen.

Hochwertiger Input für die unternehmensinterne Risikoabwägung

Hinsichtlich der nach Art. 28 DSGVO erforderlichen Angaben zu „Gegenstand der Verarbeitung“, „Dauer der Verarbeitung“, „Art der Verarbeitung“, „Zweck der Verarbeitung“, „Art der personenbezogenen Daten“ sowie der „Kategorien betroffener Personen“ wird klargestellt, dass im AVV auch ein Verweis auf den Hauptvertrag oder das Verzeichnis der Verarbeitungstätigkeiten (nach Art. 30 DSGVO) genügt, wenn das Referenzdokument beigefügt ist und dort jeweils ausreichende Angaben zu den Aspekten enthalten sind. Auf Angaben zur „Art der Verarbeitung“ (Art. 28 Abs. 3 Satz 1) kann im AVV unter Umständen sogar verzichtet werden. Dazu heißt es in der entsprechenden Fußnote 5 der Checkliste: „Es ist unklar, ob damit die verschiedenen Arten der Verarbeitung nach Art. 4 Nr. 2 [DS-GVO] gemeint sind. Wenn Gegenstand und Zweck ausreichend definiert sind, erscheint es Förmelei, auf einer Angabe der Arten der Verarbeitung in diesem Sinne zu bestehen.“

Keine abschließende Aussage trifft die Checkliste, ob ein AVV den Formanforderungen (Art. 28 Abs. 9 DS-GVO) genügt, wenn der AVV für Pflichtinhalte auf den Hauptvertrag verweist, wobei unklar ist, ob der Hauptvertrag die Formanforderungen erfüllt.

Technisch-organisatorische Maßnahmen (TOM)

Für die Verpflichtung des Auftragsverarbeiters, alle erforderlichen technischorganisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO zu ergreifen, ist in zwei Konstellationen unklar, ob im Auftragsverarbeitungsvertrag ein Verweis auf eine Liste von TOM genügt. Zum einen betrifft das die Konstellation, dass die technisch-organisatorischen Maßnahmen nicht auf Übereinstimmung mit Art. 32 DS-GVO geprüft wurden und zum anderen die Konstellation, dass die TOM zwar aktuell ausreichend sind, aber nach dem AVV auch zukünftige Risiken erfassen sollen, ohne dass der AVV eine dynamische Anpassungsklausel für die TOM enthält. Technisch-organisatorische Maßnahmen müssen nach Art. 32 DS-GVO u. a. im Hinblick auf den allgemeinen (aktuellen) „Stand der Technik“ ein angemessenes Schutzniveau für das jeweilige Risiko der Verarbeitung gewährleisten, so dass die TOM entsprechend der Änderungen des allgemeinen Stands der Technik ggf. angepasst werden müssen, um auch weiterhin ein ausreichendes Schutzniveau zu gewährleisten.

Datentransfer in Drittländer

Speziell in Bezug auf Klauseln zur Rechtsgrundlage für Datentransfers in Drittstaaten (Art. 44 ff. DS-GVO) lässt sich der Checkliste auch nicht entnehmen, ob es ausreicht, wenn der AVV solche Datentransfers nicht ausschließt und nur eine allgemeine Regelung enthält, wonach solche Datentransfers rechtmäßig sein müssen.

Vorteile im Überblick

  • Checkliste AVV + Ausfüllhinweise
  • Einhaltung der Datenschutzvorgaben
  • Verweis auf den Hauptvertrag
  • Technisch-organisatorische Msßnahmen (TOM)
  • Datentransfer in Drittländer

Dieses Tool steht exklusiv unseren Mitgliedern zur Verfügung.

Kontakt in Ihrer Geschäftsstelle

Sobald Sie sich eingeloggt haben, finden Sie hier die passende Kontaktperson in Funktion Ihrer Geschäftsstelle vor Ort.

Leitung des ServiceCenters

Kristina Fink

Arbeitsrecht, Datenschutz, Europarecht

+49 (0)89-551 78-234 +49 (0)175-38 24 086 E-Mail senden