Über Auftragsverarbeitung
First things first: Es gibt nun einen fertigen Vertrag zur Auftragsverarbeitung, der den Segen unseres externen Datenschutzbeauftragen bekommen hat. Du findest ihn unter https://uberspace.de/dpa und wir haben alles vorbereitet, damit du ihn Anfang ab nächster Woche im Dashboard per Klick abschließen kannst. Du kannst ihn insofern bereits lesen und prüfen oder prüfen lassen, beispielsweise durch deinen Datenschutzbeauftragten, und dann nächste Woche deinen Klick setzen.
Was noch fehlt, ist die Abnahme unseres Entwurfs zur Dokumentation der technischen und organisatorischen Maßnahmen durch unseren externen Datenschutzbeauftragten - dessen Workload, wie man sich vielleicht vorstellen kann, im Rahmen allgemeiner DSGVO-Panik gerade durch die Decke geht und der wundersamerweise dennoch Zeit findet, sich jedwedes Dokuments innerhalb von 2-3 Werktagen anzunehmen. Die vorige von uns gelieferte Fassung fand bereits Zuspruch und bedurfte nur noch geringer Änderungen an der Struktur des Dokuments, so dass die letzte Abnahme nur noch eine Formalität ist.
Aber mal einen Schritt zurückgetreten und durchgeatmet:
Was ist eigentlich diese Auftragsverarbeitung, von der alle reden?
Grundsätzlich ist erst einmal wichtig zu verstehen, dass der Dreh- und Angelpunkt die Frage ist, ob personenbezogene Daten im Spiel sind oder nicht, denn wenn nicht, kannst du im Grunde aufhören zu lesen. Im Rahmen von Webhosting wird hierbei gerne schnell auf das Thema Logging abgestellt. In diesem Punkt können wir dich beruhigen: Wenn ein access_log erstellt wird (unter U6 ist das der Fall, unter U7 ist es standardmäßig nicht der Fall, kann aber aktiviert werden), so sind darin grundsätzlich alle IP-Adressen gekürzt und gelten insofern nicht mehr als möglicherweise personenbezogene Daten. Es ist also unsererseits dafür gesorgt, dass nicht allein durch die Benutzung deines Uberspaces schon personenbezogene Daten anfielen. (Unter U6 gibt es mit dem error_log derzeit noch den Pferdefuß, dass darin vollständige IPs zu finden sind, was sich technisch auch nicht vermeiden lässt; wir werden dem in Kürze dafür mit deutlich reduzierter Aufbewahrungsdauer begegnen. Das error_log ist aber bei U6 wie bei U7 standardmäßig aus, und bei U7 haben wir eine saubere Lösung dafür gefunden, auch im error_log nur gekürzte IPs zu zeigen.)
Zeit also, um den Blick darauf zu lenken, wie du deinen Uberspace nutzt: Veröffentlichst du beispielsweise einen Blog ohne Kommentarfunktion (so wie dieser hier, den du gerade liest)? Dann sind nämlich keine personenbezogenen Daten im Spiel. Verwendest du eine Kommentarfunktion? Dann ist immer noch die Frage, ob du dort einen Klarnamen und/oder eine E-Mail-Adresse erfasst oder ob deine Besucher ohne diese Angaben anonym kommentieren können - und, ob du deren IP-Adresse speicherst oder nicht. Oder verwendest du einen externen Kommentarservice wie z.B. Disqus? Dann werden ggf. erfasste personenbezogene Daten eben nicht mehr bei uns verarbeitet, sondern bei Disqus, und die Frage der Auftragsverarbeitung verschiebt sich von uns zu denen.
Verwendest du E-Mail? Dann haben wir es auch hier mit Auftragsverarbeitung zu tun, denn wann immer du eine Mail an jemanden sendest oder von jemandem erhältst, gelangt ein personenbezogenes Datum - nämlich die Mailadresse des Gegenübers - auf unsere Systeme. Da hilft auch keine E-Mail-Verschlüsselung, denn die Mailadressen stehen ja als Metadaten sozusagen außen auf dem Briefumschlag, was für den Transport ja auch zwingend erforderlich ist.
Soll heißen: Um personenbezogene Daten geht es zwar nicht automatisch mit Nutzung deines Uberspaces für Webhosting - aber sie sind sehr schnell im Spiel. Die Frage, ob Auftragsverarbeitung vorliegt, hängt insofern davon ab, wie du deinen Uberspace nutzt, und das kannst nur du selbst beantworten.
Ein anderer wichtiger Dreh- und Angelpunkt ist aber auch die Frage, ob du deinen Uberspace zu unternehmerischen Zwecken nutzt oder nur zu persönlichen und familiären Zwecken - Artikel 2 (2) c DSGVO stellt nämlich klar, dass die Verordnung darauf keine Anwendung findet und dich insofern auch das Thema Auftragsverarbeitung nicht jucken muss.
Nur für den Fall, dass du jetzt sagst “Ach sooo! Hättet ihr das nicht gleich sagen können?” - Ja, hätten wir, aber es erschien uns dennoch sinnvoll, dich selbst wenn es deinen konkreten Nutzungsfall nicht betrifft, ein wenig mit in die Gedankenwelt der DSGVO zu nehmen. Und außerdem gilt zu beachten: Die genannten persönlichen und familiären Zwecke sind sehr eng gefasst, und du musst nicht erst ein Unternehmen gründen, um über die Schwelle zu hüpfen, ab der die DSGVO dann doch gilt. Die Rechtsprechung hat schon in der Vergangenheit gezeigt, dass bereits beim Einblenden von Werbeanzeigen oder der Bereitstellung von Affiliate-Links ein Blog als Einkommensquelle und damit nicht mehr als reine Privatsache angesehen wird, und es ist davon auszugehen, dass das auch in Bezug auf Datenschutzfragen ähnlich gehandhabt werden dürfte.
Wenn du dir nun ziemlich sicher bist, dass du deinen Uberspace vielleicht nicht zu 100% nur zu persönlichen oder familiären Zwecken verwendest, und dass auf deiner Website personenbezogene Daten verarbeitet werden, zum Beispiel mit einem Blog mit Kommentarfunktion mit Erfassung einer Mailadresse, dann heißt es: Hallo, Auftragsverarbeitung! Denn damit ziehst du uns als Dienstleister hinzu und verarbeitest die Daten nicht mehr ganz alleine. Der Begriff der “Verarbeitung” ist dabei sehr weit gefasst und erfordert überhaupt nicht, dass wir die Daten im wörtlichen Sinne auch verarbeiten, also tatsächlich irgendetwas damit tun. Vielmehr ist bereits der Umstand, dass nicht sicher ausgeschlossen werden kann, dass wir auf personenbezogene Daten, die du auf deinem Uberspace verarbeitest, zugreifen können. Ob wir das in Praxis auch tun oder nicht, ist dabei völlig unerheblich.
In diesen Fällen einen Vertrag zur Auftragsverarbeitung abzuschließen, entspringt insofern deinem Interesse und nicht originär unserem. Unser Interesse ist, dass du weiterhin - rechtskonform - bei uns hosten kannst, wozu wir dir den Abschluss eines Vertrags zur Auftragsverarbeitung anbieten müssen. Gegenüber denen, deren personenbezogene Daten du erfasst, bist nämlich du selbst verantwortlich, und das heißt, du musst bei der Auswahl der Unternehmen, die du hinzuziehst, um dir dabei zu helfen, die Daten zu verarbeiten (in unserem Fall also mit der Bereitstellung einer Hostingplattform, die dich davon entbindet, dir eigene Hardware kaufen zu müssen, in ein Rechenzentrum zu stellen, sie zu warten, sie auf korrekte Funktion zu überwachen etc.) entsprechend Sorgfalt walten lassen; das schuldest du denen, deren Daten du verarbeitest. Mit dem Abschluss eine Vertrags zur Auftragsverarbeitung stellst du klar, dass wir ausschließlich weisungsgebunden mit deinen Daten umgehen dürfen, also damit nicht einfach tun können, was wir wollen. Außerdem bekommst du durch die Dokumentation der technischen und organisatorischen Maßnahmen eine konkrete Zusammenstellung der Dinge, die wir zum Schutz deiner Daten unternehmen, und damit mehr als ein werbespruchhaftes “Deine Daten sind bei uns sicher”. Das bedeutet natürlich nicht, dass nicht dennoch etwas schiefgehen kann - aber die Verantwortlichkeiten dafür sind dann klar geregelt. Gegenüber denen, deren personenbezogene Daten du verarbeitest, stellt es ja einen qualitativen Unterschied dar, ob du denen sagst: Joah, ich hab da so EDV-Zeugs, da liegen die drauf; keine Ahnung, ob der Betreiber die aktuell hält oder eine Datensicherung macht - oder ob du denen sagst: Das EDV-Zeugs von den Ubernauten wird ordentlich gemacht; es gibt einen sauberen Vertrag, und wir wissen, welche konkreten Maßnahmen die in puncto Datenschutz unternehmen, und ich befinde diese Maßnahmen für ausreichend, um denen zuzutrauen, dass sie auch mit deinen Daten seriös umgehen, und das heißt auch: Ausschließlich gemäß meiner Weisungen.
Die technischen und organisatorischen Maßnahmen sind im Gegensatz zum eigentlichen AV-Vertrag volatil - sie liegen dem Vertrag insofern nur als Anlage bei. Insbesondere bei Technik ist es eben so, dass die durch schlichtes Nichtstun - im Verhältnis - schlechter wird, einfach weil die Welt drumherum sich fortentwickelt und Stillstand früher oder später nicht mehr dem entspricht, was man gemeinhin als “Stand der Technik” bezeichnet. Insofern entwickeln sich auch die Maßnahmen, die wir zum Schutz deiner Daten unternehmen, weiter. Die technischen und organisatorischen Maßnahmen können sich insofern jederzeit verändern - aber entsprechend nur in Richtung “besser” (“sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird”, wie es dazu in Punkt 5.2.2 des AV-Vertrags heißt).
Mit der Bereitstellung des Vertrags zur Auftragsverarbeitung und der technischen organisatorischen Maßnahmen ist die Zielgerade der DSGVO-Konformität für uns dann in greifbarer Nähe (ein paar Kleinigkeiten fehlen noch, die aber auch schon vorbereitet sind). Aber auch wenn hier dann vermutlich erleichtert die Sektkorken knallen, im branchenübergreifenden Sprint zum 25.5. ein gutes Ziel erreicht zu haben, so geht der Weg danach weiter - nicht zuletzt deshalb, weil die DSGVO auch viele Fragezeichen mit sich bringt, die im Lauf von Monaten oder auch Jahren noch Gerichte beschäftigen werden, wie denn Dieses oder Jenes konkret auszulegen ist. Die Bestellung eines externen Datenschutzbeauftragten ist für uns das klare Bekenntnis, Datenschutz nicht als lästiges Übel, sondern als Selbstverständlichkeit zu betrachten, und wir haben damit einen Wegbegleiter, der uns - wie wir mit inzwischen zwei persönlichen Treffen zusätzlich zur überbordenden E-Mail-Kommunikation feststellen konnten - mit großer Begeisterung dabei hilft, besser zu werden. Darauf freuen wir uns mit euch.