Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung - DSGVO-Update
Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung - DSGVO-Update
Blogbeitrag vom
Wenn Webseitenbetreiber Dienstleister einsetzen, ergeben sich weitere Datenschutzfragen. Häufig werden mit ihnen sogenannte Verträge zur Auftragsdatenverarbeitung geschlossen.
Eine private Homepage oder eine kleine Webseite für Kinder lässt sich theoretisch auch von einem Computer betreiben, der im Büro oder zuhause unter eigener Kontrolle steht. Meist nutzen Seitenbetreiber aber professionelle Dienstleister, die mehr oder weniger umfangreiche technische Aufgaben beim Betrieb übernehmen. Auch die Inhalte der Webseite selbst werden häufig nicht allein vom Seitenbetreiber ausgeliefert, sondern von externer Quelle. In beiden Fällen sind datenschutzrechtlich weitere Aspekte zu beachten.
DSGVO-Update:Seit dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Der Text in dieser Box stellt eine Ergänzung zum darunter stehendem Haupttext dar. Zum Gesamtverständnis lohnt es sich beide Texte zu lesen. Die „Auftragsdatenverarbeitung“ heißt in der DSGVO jetzt „Auftragsverarbeitung“. Die Dienstleister in den für Seitenbetreibern relevanten Bereichen bieten zunehmend eine vorgefertigte Vereinbarung dazu an. Es empfiehlt sich, bei Dienstleistern nachzufragen, wenn diese noch nicht darauf hingewiesen haben. Beim verwandten Thema der Einbindung von Inhalten anderer Seiten veranlasst die DSGVO viele Seitenbetreiber nun zu mehr Vorsicht. Zugleich entwickeln sich auch die Werkzeuge weiter, die solches Embedding ermöglichen, das damit verbundene Tracking aber reduzieren. Einige solcher Werkzeuge ermöglichen das bereits, ohne Nutzern weitere Klicks oder Vorschaltseiten zuzumuten, etwa die Anwendung „Embetty“ des Heise-Verlags. Für das verbreitete System Wordpress gibt es unter anderem das Plugin „YouTube Lyte“, das eine datenschutzfreundliche Konfiguration eingebundener Videos erleichtert. Empfehlenswert ist folgende einfache Formulierung, die vor dem Abspielen eingeblendet werden könnte: |
Vorschlag für eine Formulierung bei der Einbindung von Fremdinhalten: "Zum Starten hier klicken. Darstellung der Inhalte durch [youtube] unter deren Datenschutzbedingungen (Link)" oder "Abspielen. Das Video kommt direkt von [youtube], die dabei Daten von dir sammeln können (Link)" |
YouTube ermöglicht es auch von sich aus, Videos einzubinden, ohne dass bereits beim bloßen Aufruf der einbindenden Seite Daten wie Cookies übertragen werden. Dazu muss im „Teilen“-Dialog der „erweiterte Datenschutzmodus“ ausgewählt werden. |
Hosting von Webseiten und Servern
Wer eine Webseite aufruft, sendet - technisch betrachtet - eine Anfrage an einen anderen Computer, auf dem die Inhalte gespeichert sind. Dieser Computer wird „Server“ genannt. Die Server stehen zumeist in großen Rechenzentren. Meist werden viele hunderte oder tausende Computer von Dienstleistern an einem Ort aufgestellt. Die Dienstleister kümmern sich für die Betreiber der Webseite darum, dass die Technik funktioniert. Man spricht vom sogenannten Web- oder Server-Hosting.
Arten des Hosting
Die Angebotsvielfalt an Hosting-Dienstleistern ist nahezu unüberschaubar. Bekannte in Deutschland vertretene Anbieter sind unter anderem 1&1, Hetzner und die Deutsche Telekom, doch es gibt hunderte Anbieter. Auch internationale, insbesondere US-Firmen wie Amazon oder Microsoft haben vielfältige Angebote, die den Betrieb einer Webseite unterstützen.
Der Umfang und auch die technische Funktionsweise dieser Angebote unterscheiden sich sehr stark. So können Webseitenbetreiber im einfachsten Fall ein bestimmtes Gerät in einem Rechenzentrum anmieten oder auch sogenannte virtuelle Maschinen, bei denen sie sich ein Gerät mit mehreren Kunden teilen. Häufig mieten Kunden bei Anbietern gar nicht mehr bestimmte Geräte, sondern ein bestimmtes Pensum an Rechenkraft, Speicherplatz und anderen Ressourcen. Die verwendeten Ressourcen werden lediglich durch Computerprogramme nachgebildet (Virtualisierung). Wo die Daten am Ende wirklich verarbeitet werden, liegt dann allein im Ermessen des Dienstleisters. Für den Nutzer und Betreiber der Webseite stellt sich das Internet damit oft nur als eine undurchsichtige Wolke („Cloud“) dar.
Auch der Umfang der Dienstleistung variiert sehr stark. Man kann einen angemieteten Server ganz alleine verwalten oder auch Dienstleistern einen großen Teil der Wartungsaufgaben überlassen. Das ist etwa beim „Managed Hosting“ der Fall, bei dem der Dienstleister sich – je nach Vertrag – etwa darum kümmert, dass die im Hintergrund vom Server verwendete Software auf dem aktuellen Stand ist.
Der Vorteil: Betreiber einer Webseite können sich auf die Inhalte konzentrieren, notwendige Aktualisierungen führt der Dienstleister durch. Allerdings: Der Anbieter der Internetseite bleibt rechtlich betrachtet für die Datenverarbeitung verantwortlich, auch wenn er einen Hosting-Dienstleister einschaltet.
Verträge zur Auftragsdatenverarbeitung
Nutzen Webseitenbetreiber zur Datenverarbeitung die Dienstleistungen von Dritten, kann es für sie nötig werden, einen zusätzlichen, weiteren Vertrag neben der eigentlichen Beauftragung abzuschließen. Man spricht hier von einer Vereinbarung zur „Auftragsdatenverarbeitung“ (kurz: ADV), die speziell die datenschutzrechtlichen Aspekte regelt. Was in einer solchen Vereinbarung im Detail zu regeln ist, wird im Bundesdatenschutzgesetz festgelegt (Paragraf 11).
Viele Anbieter für Web-Hosting bieten solche Vereinbarungen zur Auftragsdatenverarbeitung an, manchmal auch ohne Aufpreis. Dennoch wird diese rechtliche Anforderung oft vernachlässigt, häufig wissen Betreiber von Webseiten auch gar nicht, dass sie rein rechtlich betrachtet eine Vereinbarung zur Auftragsdatenverarbeitung abschließen müssten. In der Theorie können Datenschutz-Aufsichtsbehörden eine fehlende oder unvollständige Vereinbarung mit einem empfindlichen Bußgeld belegen. Bislang haben sie allerdings von dieser Möglichkeit nur sehr zurückhaltend Gebrauch gemacht.
Theoretisch müssten Webseitenbetreiber als „verantwortliche Stelle“ zudem in gewissem Umfang kontrollieren, ob Dienstleister die Vereinbarung auch einhalten. Dies ist möglicherweise ein Grund, warum auch die Dienstleister eher zögerlich mit dem Abschluss entsprechender Vereinbarungen sind. Wenn Dienstleister hunderten oder tausenden Kunden Zutritt zu ihren Rechenzentren gewähren müssten, wäre die Sicherheit der Anlagen nur schwer zu gewährleisten. Allerdings können zum Beispiel auch anerkannte Zertifikate eine eigene Kontrollpflicht ersetzen. Viele Dienstleister lassen ihre Rechenzentren und deren ordnungsgemäßen Betrieb zertifizieren, etwa im Rahmen verschiedener ISO-Normen.
Agenturleistungen
Wer gar nichts mit dem technischen Betrieb der Internetseite zu tun haben möchte, schaltet oft eine Agentur ein, die sich um die Gestaltung und die technische Umsetzung des Angebots kümmert. Aber auch in diesen Fällen muss – je nach Art der Aufgabenverteilung - eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden. Die Agentur wiederum müsste dann ihrerseits einen weiteren, ebensolchen Vertrag mit dem Hosting-Anbieter schließen.
Entsprechend müsste die erste Vereinbarung auch bestimmen, wie ein solcher Unterauftrag vergeben werden darf. Grundlage hierfür können die zahlreichen Mustervereinbarungen sein, die von den Datenschutzaufsichtsbehörden angeboten werden und entsprechend angepasst werden müssen. Eine Vorlage findet sich zum Beispiel auf den Seiten der Bundesdatenschutzbeauftragten.
Achtung bei US-Dienstleistern
Rechtlich problematisch ist derzeit die Beauftragung von Dienstleistern aus dem EU-Ausland, besonders dann, wenn die Daten in den USA verarbeitet werden. Der Europäische Gerichtshof (EuGH) hat kürzlich in einer Entscheidung über die sogenannte Safe-Harbor-Übereinkunft eine wesentliche Rechtsgrundlage gekippt. Nach der – wohl berechtigten – Auffassung des EuGH sind die Daten europäischer Bürger in den USA nicht so gut geschützt wie in Europa, weswegen eine Verarbeitung im Auftrag in den USA nicht mehr zulässig ist, wenn sie sich nur auf die Safe-Harbor-Übereinkunft stützt. Diese Entscheidung ist in der Praxis bisher kaum umgesetzt worden. Die Politik arbeitet derzeit daran, eine neue Regelung zu finden und umzusetzen. Bisher sind die Datenschutzaufsichtsbehörden noch zurückhaltend, gegen Datenschutzverstöße aufgrund mangelnder Rechtsgrundlage für die Verarbeitung vorzugehen. Das bietet jedoch keine Garantie, dass sich die Lage nicht bald ändert.
Embedding – fremde Inhalte einbinden
Viele Inhalte auf Webseiten werden über externe Quellen eingebunden, etwa Videos, Kartenmaterialien, Feeds, aber auch verwendete Schriften und sogenannte Scripte, die bestimmte Aufgaben auf der Seite erledigen. Der Browser des Nutzers holt sich diese Inhalte dann direkt von der externen Quelle, von der aus sie eingebunden wurden (Embedding).
Hierbei entstehen Datenspuren bei den jeweiligen externen Anbietern. Facebook etwa kann Aufrufe auf den „Gefällt mir“-Button mit den weiteren Informationen der Nutzerinnen und Nutzer verknüpfen. Es entsteht ein Profil, das auch eine Vielzahl der Webseiten enthält, die aufgerufen wurden. In ähnlicher Weise gilt dies auch für andere Anbieter.
Datenschutzrechtlich verantwortlich bleibt jedoch der Betreiber der ursprünglichen Webseite. Er hat dafür gesorgt, dass durch seine Einbindung diese Datenspuren entstehen.
Es spricht daher einiges dafür, dass man mit jedem Anbieter, dessen Inhalte man einbinden will, auch eine Auftragsdatenvereinbarung schließen muss. In der Praxis ist es aber üblich, in der eigenen Datenschutzerklärung auf die fremden Anbieter und deren jeweilige Datenschutzerklärungen verweisen. Ob das rechtlich ausreichend ist, ist allerdings zweifelhaft. Im Fall der Facebook-Like-Buttons sind Datenschutzaufsichtsbehörden in Einzelfällen bereits aktiv geworden.
Besser ist es daher, eine technische Lösung zu wählen, die einen weiteren Klick erfordert, bevor Daten mit externen Quellen ausgetauscht werden (Zwei-Klick-Lösung). Seitenbetreiber können bei gängigen sozialen Netzwerken auf vorgefertigte Lösungen zurückgreifen. So hat beispielsweise der Heise-Verlag das Werkzeug „Shariff“ entwickelt, die sogar weiterhin mit einem Klick funktionieren.
Andere Inhalte wie Scripte und Schriften können Seitenbetreiber auch selbst bereit stellen, so dass sie vom eigenen Server geladen werden. Vorher sollte geklärt werden, ob das urheberrechtlich unproblematisch ist. Im Unterschied zum Embedding setzt das Anbieten auf dem eigenen Server häufig eine Erlaubnis (Lizenz) voraus. Viele Werkzeuge und Inhalte erlauben dies jedoch durch Open-Source- und Open-Content-Lizenzen.
Externe Links
Eine weitere oft vernachlässigte Anforderung besteht darin, dass Webseitenbetreiber Links auf externe Quellen zusätzlich kennzeichnen müssen. Hintergrund eine Regelung des Telemediengesetzes, nach dem die „Weitervermittlung zu einem anderen Dienstleister“ Nutzern angezeigt werden muss (Paragraf 13 Absatz 5 Telemediengesetz). Sie sollen vorher abschätzen können, wenn sie die Seiten eines Anbieters verlassen und sich der Verarbeitung von einem anderen Anbieter aussetzen. Dies lässt sich leicht realisieren, indem man hinter solche Links einen kleinen Hinweis in Klammern setzt. Manche Seiten verwenden vor externen Links auch ein kleines Symbol. Das ist eine auch gestalterisch ansprechende Lösung und akzeptabel, solange den Nutzerinnen und Nutzern die Bedeutung des entsprechenden Symbols bekannt ist. Bei vielen Kinderseiten öffnen sich beim Anklicken von externen Links Zwischenfenster, die darauf hinweisen, dass man nun eine andere Webseite besucht.
Dieser Text ist im Rahmen der Service-Reihe „Datenschutz auf Webseiten“ in Zusammenarbeit von Seitenstark mit iRights.law Rechtsanwälte entstanden.
Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.