Vertrag zur Auftragsverarbeitung - benötige ich einen?

  • Guten Abend zusammen,


    ich habe mich in letzter Zeit ein wenig über den Vertrag zur Auftragsverarbeitung informiert, bin allerdings nicht so recht schlau aus den Artikeln im Inet geworden. Was ist denn bei euch zu folgenden Situationen der aktuelle Stand (Mir ist bewusst, dass ich für Nummer sicher mit einem Anwalt darüber reden müsste, was ich als einzelne Privatperson für folgende Gegebenheiten allerdings für Overkill halte. Daher bitte ich hier nur um euer aktuelles Wissen zu diesem Thema - ohne verbindliche Aussagen!):


    Situation 1:

    Ich habe eine Webseite (einen Blog), der auf einem Webhosting von netcup läuft. Benötige ich hierfür einen entsprechenden Vertrag zur Auftragsverarbeitung mit netcup? Wer ist denn rein rechtlich bei einem Shared Hosting der Verarbeiter der Daten (z.B. IP-Adressen in Webserver-Logs)? Bin das ich, oder ist das netcup?

    Soweit ich weiß, müsste ich beim Einsatz von z.B. Google Analytics einen AV-Vertrag mit Google abschließen - was wäre, wenn ich Matomo auf einem Server von netcup betreiben würde?


    Situation 2:

    Ich betreibe einen Mailserver auf einem RS bei netcup. Benötige ich hierfür einen entsprechenden AV-Vertrag mit netcup? Theoretisch würde ich sagen nein, da ICH der Verarbeiter der Daten bin und nicht netcup, allerdings liegt der Server und damit die Daten in einer von netcup zugänglichen Infrastruktur. Vor allem dadurch, dass der RS nicht verschlüsselt ist, hat netcup jederzeit Zugriff auf die Daten in "meiner" VM.


    Meiner Meinung nach benötige ich weder für Situation 1 noch für Situation 2 einen AV-Vertrag, allerdings lässt mich das netcup Wiki wieder nachdenklich werden, laut dem schon bei reiner Speicherung von personenbezogenen Daten auf fremder Infrastruktur ein AV-Vertrag nötig sein kann:

    Wenn Sie Daten von Personen auf einer fremden Infrastruktur speichern kann es erforderlich sein, dass Sie mit dem Betreiber der Infrastruktur eine Vereinbarung zur Auftragsverarbeitung abschließend.


    Ich hoffe, der ein oder andere hat schon ein wenig Erfahrung was dieses Thema angeht und kann mir die ein oder andere Frage beantworten :)


    Ich wünsche allen noch schöne Feiertage und einen guten Rutsch ins Jahr 2020 🎆


    Viele Grüße

    Dominik

  • Hi,

    das kommt natürlich drauf an, wofür Du Blog und Mailserver verwendest.


    1.) Gilt die DSGVO überhaupt? Bei einer rein privaten oder familiären Datenverarbeitung ist die DSGVO nicht anwendbar, Art. 2 Abs. 2 lit. c DSGVO. Diese so genannte Haushaltsausnahme oder Haushaltsprivileg soll aber - so mW noch der aktuelle Stand - eng ausgelegt werden. D. h. man könnte da theoretisch schon nicht mehr drunter fallen, wenn man sich seine Nextcloud auf Spendenbasis unterstützen lässt.


    2.) Wenn ich also als Privatperson oder Unternehmen irgendwie beruflich, gewerblich, politisch oder whatever Datenverarbeitung auf Netcup-Servern mache, also nicht unter das Haushaltsprivileg falle, dann brauche ich einen Auftragsverarbeitungsvertrag. Eine Auftragsverarbeitung personenbezogener Daten liegt vor, wenn die Netcup als Auftragsverarbeiter bei der Datenverarbeitung an meine Anweisungen gebunden ist und nicht in eigener Verantwortung handelt.


    3.) Wenn ich als Dienstleister für ein Unternehmen tätig werde, dann bin ich nicht selten deren Auftragverarbeiter der dann z. B. Netcup als Unterauftragsverarbeiter einsetzt.