In einer koordinierten Aktion kontrollieren die Datenaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) die datenschutzrechtlichen Musterverträge , sogenannte Auftragsverarbeitungsverträge zwischen den Webhostern und deren Kunden (Webseiten-Betreiber).
Viele Organisationen betreiben ihre Internetseite oder ihren Online-Shop über einen externen Dienstleister (Webhoster). Dabei werden notwendigerweise Daten von Besuchern der Internetseite verarbeitet. Es handelt sich deshalb juristisch um eine Verarbeitung personenbezogener Daten. Im Regelfall erfolgt diese Verarbeitung im Auftrag des Verantwortlichen, d.h. der Webhoster ist ein Auftragsverarbeiter. Über die weisungsgebundene Tätigkeit müssen die Betreiber der Internetseite und der Webhoster einen besonderen Vertrag schließen, den sogenannten Auftragsverarbeitungsvertrag (AVV). Die Datenschutz-Grundverordnung (DSGVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.
Vielfach erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. Zu diesem Ergebnis kommen auch die Datenschutz-Aufsichtsbehörden selbst immer wieder im Rahmen ihrer Prüfungen. So sehen beispielsweise viele AVV nicht ausreichend vor, dass der Webhoster nachweist, dass er die vereinbarten Datenschutzmaßnahmen umsetzt. Dies kann ein großes Problem für die Betreiber von Internetseiten darstellen. Denn diese müssen wiederum gegenüber den Datenschutz-Aufsichtsbehörden und den betroffenen Personen nachweisen können, dass sie den Datenschutz einhalten.
Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen AVV zu unterstützen, prüft der Landesbeauftragte die Muster-AVV von ausgewählten großen Webhostern aus seinem Bundesland. Dazu haben die Datenschutzbehörden eine Checkliste nebst Anwendungshinweisen erstellt, die sie den Webhostern bereitstellen und die unter https://www.datenschutz-berlin.de/checkliste-avv veröffentlicht ist.
„Das Ziel der koordinierten Prüfung ist eine datenschutzrechtliche Verbesserung der Web-Auftritte von kleinen und großen Unternehmen. Diese sind zumeist auf externe Dienstleister angewiesen, tragen aber am Ende selbst den Großteil der datenschutzrechtlichen Verantwortung für ihre Webseiten.“ stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Dieter Kugelmann, klar. „Damit in solchen Fällen die Verantwortlichkeiten klar sind und auch bei einer Verarbeitung personenbezogener Daten durch Dritte die Rechte der Betroffenen gewahrt werden, macht die Datenschutz-Grundverordnung Vorgaben für die Gestaltung der Verträge mit den Dienstleistern. Die von den Datenschutzaufsichtsbehörden erstellte Checkliste dient dabei als Grundlage, Sie soll den Verantwortlichen auch zur Orientierung bei der Gestaltung ihrer Verträge dienen und ist insoweit als Hilfestellung gemeint, um die Verantwortlichen zu unterstützen.“