Verantwortlicher nach DSGVO

[schmalband]

Folgender Sachverhalt:

Unternehmerin beauftragte Webseite. Die Unternehmerin ist Inhaberin der Domains die sie zu den Servern der Agentur weiterleitet. Die Agentur hat alleinigen Zugriff auf das CMS und das CMS ist multimandantenfähig und es laufen 49 weitere Kunden auf dem Server mit dem selben Lets Encrypt Zertifikat usw... Die Inhaberin der Domain hat keinen Zugriff auf das CMS, die Datenbank oder andere Inhalte des Servers. Der Server steht in der Google Cloud.
Im Impressum der Webseite steht die Agentur als Zitat: "Für den Inhalt verantwortlich"
Die Eigentümerin der Domain und Inhaberin des Geschäftes hinter der Webseiten taucht im Impressum nicht auf. Lediglich im Footer der Webseiten wird sie als "Kontakt" geführt.
Die Webseite hat diverse Schnittstellen zu z. B. booking.com, Touristinfos usw...
Angeblich wird per Google Analytics die Webseite gemonitored, es ist aber kein Javascript diesbezüglich zu finden. Auch hat die Eigentümerin keinen Zugang zum Analytics oder dergleichen.
Welche Auftragsdatenverarbeiter seitens der Agentur beauftragt werden, wer Zugang zum Server hat, wie austausche mit z. B. booking.com oder Google laufen sind unbekannt.

Die Agentur möchte nun eine DSGVO Dienstleitung pro Webseite zu unterschiedlichen Preisen und Umfang verkaufen.
Auf die Frage bezüglich der Unklarheit der Verantwortlichkeiten kam eine Mail mit dem Bild im Anhang und folgender Text:

D.h. wir sind in der Pflicht Sie darauf aufmerksam zu machen, jedoch nicht für die Texte bzw. automatisch Aktualisierung.
Deshalb bieten wir die DSGVO Pakete auch an, um Ihnen da Abhilfe zu schaffen. Leider sind diese kostenpflichtig, da auch wir das ganze von Anwälten & Co erstellt haben lassen.

Gerne hätte ich ihnen auch etwas anderes sagen wollen, doch die Rechtslage ist leider klar und ich werde da wohl nichts tun können.

Welche Meinung hat ihr dazu? Wie ist eure Meinung zu begründen oder habt ihr zu einschlägigen Quellen Links. Übrigens kommt beim Aufruf der Website noch nicht mal eine Frage nach den Cookies, obwohl mit Cookies gearbeitet wird.

 

[zivilist]

Im Impressum (wenn es nicht vorhanden ist, wird vermutlich hier bald abgemahnt) steht die verantwortliche Person oder Unternehmen. Wenn die Inhaberin keinen Zugriff auf das CMS hat ist es grob fahrlässig, zumindest die eventuell beauftragte Agentur sollte das haben. Ansonsten gibt’s noch die Möglichkeit einen Datenschutzbeauftragten (kann auch ein externes Unternehmen sein meistens IT Rechtsanwalt) bei den Datenschutzerklärung zu hinterlegen.

Auftragstenverarbeitungsvertrag mit min. Google abschließen.

Ansonsten mal beim Händlerbund die Webseite prüfen lassen: https://www.haendlerbund.de/de

 

[Even]

Es kommt darauf an welchen Betrag sie aktuell jährlich an die Agentur zahlt. Wenn es schon ein guter marktüblicher Satz ist, würde ich denen einen Vogel zeigen. Für mich wäre die Datenschutzkonformität eine absolute Grundvoraussetzung um mit einem Anbieter zusammenzuarbeiten. Und das ganz ohne "Zusatzpakete". Das ist eine gesetzliche Anforderung und gehört für den Anbieter zu den Basics die er erfüllen muss.

Also:

"Vielen Dank für Ihren Hinweis bzgl. der DSGVO. Ich werde Ihn prüfen bei der Gelegenheit unsere gesamte Geschäftsbeziehung neu evaluieren."

 

[Zer0DEV]

Der Inhaber der Domain, dessen Webseite es ist, ist der Verantwortliche nach DSGVO. Der, der die Dienstleistung erbringt, ist dann der Auftragsverarbeiter.

In diesem "speziellen" Fall, kann aber auch Art. 26 DSGVO ("Gemeinsame Verantwortliche") greifen.

 

[madmax2010]

Ich empfehle einen Anwalt mit Fokus auf Datenschutz und IT-Recht zu beauftragen. Empfehlungen zu sehr fähigen kann ich gerne aussprechen

 

[true hero]

Vermutlich gemeinsam verantwortlich im Sinne der DSGVO, aber verantwortlich eher die Firma, für die die Webseite gemacht wurde. Sonst müsste jedes Hosting Unternehmen haften, weil Shared Server und man selbst hat ja auch kein direkten Zugriff auf die Webserver Konfiguration, die VMs, etc...
Es sollte ja ein Verarbeitungsvertrag mit der Firma bestehen, die die Seite verwaltet, oder nicht? Darin sollte aufgeführt werden, welche Daten wo wie verarbeitet werden, etc...

So wie geschildert ist es ein bescheidenes Konstrukt. Die Webagentur verstehe ich, denn DSGVO Umsetzung ist nicht kostenlos und Anwaltskosten für die korrekte Umsetzung sind nicht gering. Sich aber in so ne bescheidene Abhängigkeit geben verstehe ich nicht. Was hilft Analytics und Co wenn ich damit nichts machen kann selbst? Unseriös kann man es gar nicht nennen, denn wir kennen das Angebot für die Leistung nicht... Weder Umfang noch Preis. Vielleicht kommt ihr da auch super billig weg und DSGVO berechnen ist mehr als fair...

Anwalt fragen. Oder ne IT Klitsche, die sich mit sowas auskennt. Und das eigentlich schon vor 2 Jahren...

Je nach Unternehmensgröße und wie abhängig von der Webseite würde ich ggf. auch jemand befristet einstellen, der ne neue Seite baut. Aber mit so wenig Infos schwer zu sagen.

 

[Zentorno]

der Satz "verantwortlich ist der Webseitenbetreiber" ist entscheidend. Ist das im bestehenden Vertragsverhältnis geregelt ? Falls es die Agentur ist, zu welcher den Betrieb die Unternehmerin ge'outsource't hat dann ist es diese.
Wenn die Unternehmerin die Domain angemietet hat und dort als Betreiberin registriert ist, dann ist es diese.
Im beschriebenen Text wird das nicht klar, wahrscheinlich ist genau das das Problem und noch vertraglich festzuhalten. Das würde ich auch asap tun so lange noch nichts passiert ist.

Edit:
Daß das Ganze bei Google (in Amiland ?) gehostet ist macht die Sache risikoreicher. Denn falls Google sich nicht an die EU-DSGVO hält (warum sollten Sie ?) und die aggregierten Daten, welche vor deren Nase herumliegen verwertet dann haftet der 'Betreiber' auch für Google. Ob das gut kommt ?
Ich würde es schon deshalb nicht bei Google hosten weil:
1) das 'Data-Shield' Abkommen mit Amiland gekippt wurde und
2) Google ja gerade damit Geld macht.
Das ist wie wenn man den Hund auf die Wurst aufpassen läßt...
Vor diesem Hintergrund würde ich die AGB's, welche man bei Google akzeptieren mußte um dort hosten zu können nochmal genauestens durchlesen.

 

[Mickey Mouse]

ohne mir den Sachverhalt jetzt im Details durchgelesen zu haben, kann man "eigentlich" schon aus dem ersten Satz seine Schlüsse ziehen!
da steht "beauftragt(e)" und damit ist eben eigentlich klar, dass der/diejenige verantwortlich ist, die den Auftrag erteilt. Wer wie wo wann dann irgendwelche Daten verarbeitet ist dann zweitrangig, verantwortlich ist der Auftraggeber, normalerweise...

und noch was: neben der DSGVO/GDPR ist auch immer noch das Medienrecht gültig, das z.B. die Anforderungen an das Impressum regelt (naja, mehr oder weniger eindeutig und noch weniger sinnvoll (FAX-# muss angegeben werden )).

wenn man so etwas im kommerziellen Stil machen möchte, dann kommt man wohl kaum um eine rechtliche Beratung herum. Und natürlich versuchen andere Leute auch, die Unsicherheit auszunutzen und ein paar Euronen extra heraus zu schlagen.

 

[TorenAltair]

Für gewerbliche Nutzung muss man immer an einen entsprechenden Fachjuristen verweisen. Es wäre grob fahrlässig sich ohne entsprechende Rechtsberatung selbst was zusammenzubasteln, die Strafen können immens hoch sein.

 

[Snowknight]

Also das erste Vorweg, dies ist keine juristische Beratung.

So wie das klingt könnten hier zwei mögliche Abhängigkeiten vorliegen:
1. Die Agentur handelt im Auftrag der Unternehmerin. Dann ist die Unternehmerin der Verantwortliche und die Agentur ein Auftragsdatenverarbeiter.
2. Es liegt eine gemeinsame Verantwortlichkeit vor.

Wichtig ist hier wer nach Art. 4 DS-GVO Nr. 7 entscheidet. Eintscheiden beide, dann liegt Art. 26 DS-GVO vor.

Weitere vermutliche Besonderheiten im Zusammenhang mit Deiner Schilderung:
1. Wenn Coockies genutzt werden müssen Regeln eingehalten werden. Siehe Cookie-Richtlinie.
2. Egal ob die erste oder zweite Abhängigkeit vorliegt, muss dies durch eine vertragliche oder ähnliche Vereinbarung zwischen dein beiden Akteuren geregelt sein. Was dort genau geregelt ist bitte in der DS-GVO nachlesen.
3. Eine Verarbeitung personenbezogener Daten in IT-Systemen die außerhalb der EU stattfinden, sind in Kapitel 5 der DS-GVO geregelt. Soviel vorweg, alle Google-Dienste sind streng genommen seit dem EUGH Urteil untersagt. Es gab dort aber bisher noch keine Entscheidung einer Datenschutzbehörde -> in Mangelung von Alternativen für die Verantwortlichen und Auftragsdatenverarbeiter.
4. Wenn Dir das alles sehr suspekt vorkommt und Du um DEINE personenbezogenen Daten Befürchtungen hast -> Beschwerde bei einer Datenschutzbehörde. Zustände DS-Behörde ist die, in der wo der Verantwortliche seinen Hauptsitz oder nächste Ländervertretung hat.