GDPR und Hosting: Wer Ist Wirklich Für Ihre Daten Verantwortlich?
Wenn ein Unternehmen eine Website startet, professionelle E-Mail-Dienste nutzt oder Dokumente online speichert, stellt sich eine wichtige Frage:
Wer trägt tatsächlich die Verantwortung für personenbezogene Daten unter GDPR?
Verantwortlicher Datenverarbeiter vs. Auftragsverarbeiter
GDPR definiert zwei zentrale Rollen:
Verantwortlicher Datenverarbeiter
Das ist die Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Beispiele sind:
- Ein Unternehmen, das seine Unternehmenswebsite betreibt
- Ein Online-Händler, der Kundenbestellungen verarbeitet
- Eine Anwaltskanzlei, die Kundendaten verwaltet
- Ein Gesundheitsdienstleister, der Patientendaten behandelt
Der Verantwortliche legt fest, warum und wie Daten gesammelt werden.
Auftragsverarbeiter
Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen und folgt dessen Anweisungen. In den meisten Fällen ist ein Hosting-Provider in diese Kategorie einzuordnen.
Ist ein Hosting-Provider immer ein Auftragsverarbeiter?
In den meisten Fällen ja. Wenn ein Hosting-Unternehmen Server-Infrastruktur, E-Mail-Dienste, Cloud-Speicher, Backups oder Website-Hosting bereitstellt, ohne zu bestimmen, wie die Daten verwendet werden, agiert es als Auftragsverarbeiter.
Das Unternehmen bleibt der Verantwortliche und trägt die Hauptverantwortung für die GDPR-Konformität.
Welche Verantwortlichkeiten hat der Verantwortliche?
Verantwortliche Organisationen müssen:
- Rechtliche Grundlage für die Datenverarbeitung schaffen
- Transparente Datenschutzinformationen bereitstellen
- Rechte der Betroffenen respektieren
- Zuverlässige Dienstleister auswählen
- Angemessene Sicherheitsmaßnahmen implementieren
- Gesetzesgemäße und sichere Datenverarbeitung gewährleisten
Auch wenn der Hosting-Provider vollständig compliant ist, bleibt die Organisation verantwortlich für die Datenverarbeitung.
Warum ist die Wahl des richtigen Hosting-Providers wichtig?
Schlüsselfaktoren sind:
- Serverstandort
- Datenresidenz
- Sicherungsprozesse
- Zugriffskontrollen
- Reaktionsfähigkeit bei Vorfällen
- Geschäftskontinuitätsmaßnahmen
GDPR verlangt, dass Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die ausreichende Garantien für Sicherheit und Compliance bieten.
Wichtigkeit eines Data Processing Agreements (DPA)
Jeder professionelle Hosting-Dienstleister sollte eine DPA anbieten, die folgendes umfasst:
- Verantwortlichkeiten beider Parteien
- Sicherheitsmaßnahmen
- Anweisungen zur Datenverarbeitung
- Verfahren bei Datenpannen
- Verwendung von Subprozessoren
- Speicherung und Löschung von Daten
Die Überprüfung des DPA ist Teil der Due Diligence bei der Auswahl eines Hosting-Providers.
Hosting außerhalb der EU
Hier wird die GDPR-Compliance komplexer. Wenn personenbezogene Daten außerhalb der EU übertragen werden, können zusätzliche rechtliche Schutzmaßnahmen erforderlich sein, abhängig vom Zielland und Übertragungsmechanismus.
Fazit
Der Hosting-Provider ist ein wichtiger Partner beim Schutz personenbezogener Daten, ersetzt jedoch nicht die GDPR-Verantwortlichkeiten. Die Organisation, die Daten sammelt und verwendet, bleibt der Verantwortliche und trägt die Hauptverantwortung für die Einhaltung.