Wenn Sie den Begriff „DSGVO-konformes Hosting" gehört haben, ist das wichtigste Dokument dahinter eigentlich dieses:
Data Processing Agreement (DPA) — Auftragsverarbeitungsvertrag (AVV).
Viele Unternehmen glauben, DSGVO-konform zu sein – sind es aber nicht, weil sie nie einen AVV mit ihrem Hosting-Anbieter abgeschlossen haben.
1. Was ist ein AVV?
Ein AVV (Auftragsverarbeitungsvertrag) ist ein Vertrag zwischen der Partei, die personenbezogene Daten verarbeitet, und der Partei, der die Daten gehören.
| Rolle | Wer |
|---|---|
| Data Controller (Verantwortlicher) | Sie |
| Data Processor (Auftragsverarbeiter) | Ihr Hosting-Anbieter |
Gemäß DSGVO Art. 28 ist dieser Vertrag verpflichtend.
2. Ist ein AVV Pflicht?
Wenn Ihr Hosting-Anbieter auf folgende Daten zugreifen kann:
- Namen
- E-Mail-Adressen
- IP-Adressen
- Bestellinformationen
- Nutzerkonten
Die Antwort lautet: Ja, er ist verpflichtend
3. Was passiert ohne AVV?
- DSGVO-Verstoß
- Haftung im Falle einer Datenpanne
- Bußgelder
DSGVO-Bußgelder: Können bis zu 4 % des jährlichen Unternehmensumsatzes betragen.
4. Pflichtklauseln in einem AVV
| Klausel | Erklärung |
|---|---|
| Daten werden nur weisungsgebunden verarbeitet | Hosting-Anbieter darf die Daten nicht verwenden |
| Vertraulichkeit | Kein unbefugter Zugriff |
| Technische und organisatorische Maßnahmen | Verschlüsselung, Zugangskontrolle |
| Liste der Unterauftragsverarbeiter | Sub-Processor-Liste |
| Meldung von Datenpannen | Innerhalb von 72 Stunden |
| Datenlöschung | Nach Vertragsende |
| Prüfungsrecht | Audit-Rechte |
| Datenspeicherort | Wo die Daten gespeichert werden |
5. Was ist ein Unterauftragsverarbeiter?
Ihr Hosting-Anbieter kann folgende Dienste nutzen:
- Rechenzentren
- CDN
- Backup
- E-Mail-Dienste
Diese werden Unterauftragsverarbeiter (Sub-Processor) genannt und müssen aufgelistet werden.
6. Wenn Daten die EU verlassen
Für Datenübertragungen außerhalb der EU: Sind Standardvertragsklauseln (SCC – Standard Contractual Clauses) erforderlich.
7. Checkliste für die Hosting-Auswahl
- Gibt es einen AVV?
- Werden Daten innerhalb der EU gespeichert?
- Gibt es eine Unterauftragsverarbeiterliste?
- Gibt es eine Klausel zur Meldung von Datenpannen?
- Gibt es eine Richtlinie zur Datenlöschung?
- Werden SCCs bereitgestellt?
8. Das größte Missverständnis
Falsch: „Der Server steht in der EU, also ist die DSGVO abgedeckt."
Richtig: Ohne AVV gibt es keine DSGVO-Konformität.
9. Fazit
Für die DSGVO-Konformität gilt:
- Ein AVV ist unverzichtbar
- Der Datenspeicherort ist wichtig
- Hosting allein reicht nicht aus
Der wichtigste Satz:
Es gibt kein „DSGVO-konformes Hosting". Es gibt nur einen DSGVO-konformen Vertrag.