Root-Server und Auftragsverabeitungsvertrag

[GLenk]

Heute war ich im Kundenzentrum des Dienstleister netup und wurde mit der Frage konfrontiert:

Sollten Sie personenbezogene Daten über netcup GmbH-Dienste verarbeiten, ist hierfür der Abschluss eines Auftragsverarbeitungsvertrages (AVV) im Sinne des Artikel 28 Absatz 3 DSGVO mit der netcup GmbH rechtlich verpflichtend. Im Rahmen dieses Vertrages wird die netcup GmbH als Auftragsverarbeiter gemäß Artikel 28 Absatz 1 DSGVO tätig. Im Fall einer Verarbeitung personenbezogener Daten, die unter die sog. "Haushaltsausnahme" (Artikel 2 Absatz 2 litera c DSGVO) fällt, über netcup GmbH-Dienste hält die netcup GmbH aus Gründen des Betroffenenschutzes die analoge Anwendung der Auftragsverarbeitung und damit auch den Abschluss eines entsprechenden AVV für sachgerecht.

Einen entsprechenden Auftragsverarbeitungsvertrag können Sie hier im netcup Customer Control Panel (CCP) unter "Stammdaten" -> "Auftragsverarbeitung" abschließen. Unser Formular unterstützt Sie bei der Angabe der notwendigen Informationen.
Wenn sie keinen Auftragsverarbeitungsvertrag abschließen oder die notwendigen Informationen nicht angegeben werden, nimmt die netcup GmbH an, dass Sie keine Verarbeitung personenbezogener Daten beabsichtigen oder durchführen.

Sie können diese Meldung nicht erneut ausblenden, da die Entscheidungsfrist von 14 Tagen abgelaufen ist.

Beachten sie auch unsere Liste mit den am häufigsten gestellten Fragen und Antworten rund um das Thema Auftragsverarbeitungsvertrages (AVV)

Dazu gibt es zwei Schaltflächen
a) <Ich verarbeite keine personenbezogenen Daten>
b) <Auftragsverarbeitungsvertrag abschliessen>

Ich betreibe auf einen Root-Server einen Mailserver.
Root-Server bedeutet, ich habe virtuelle Hardware angemietet und wähle  Betriebssystem, Serverwartung und Anwendungssoftware selbst aus, installiere sie und verwende sie zum Zweck "Mailserver für meine Domäne".

Das heißt außer der "Hardware" stellt mir Netcup nichts zur Verfügung oder leistet darüber hinaus weitere Dienstleistungen in meinem Auftrag im Zusammenhang mit dem Mailserver.

Bisher war ich davon ausgegangen, dass ich der alleinige Verantwortliche des Mailservers bin, die Nutzerkonten sind von mir, ABER natürlich beinhalten Mails mit anderen Kommunikationspartnern deren personenbezogene Daten, die ich durch Speichern, Weiterleitung etc. verarbeite.

Dennoch halte ich einen Auftragsverarbeitungvertrag in diesem Fall für nicht erforderlich.
Wie ist Eure Einschätzung dazu?

Rechtsgrundlage Art. 28 DSGVO, insb. Abs. 3 lt. Netcup
Nun interpretiere ich die Verarbeitung nach Abs. 1 so, dass ich dies ohne dies ohne Dienste von Netcup bewerkstellige.

Noch ein Vergleich, der hoffentlich nicht hinkt:
Ein klassischer Mailprovider stellt einem Kunden Hard- und Software zur Verfügung zur Betrieb eines Mailaccounts auf dem Mailserver für viele Kunden.
Innerhalb des Accounts werden natürlich pbD verarbeitet (gespeichert, gelöscht, übertragen etc.).
Dennoch schließt kein Mailprovider mit den Kontoverantwortlichen AVV-Verträge ab.

[duda]

Hier ist sicherlich (nur) eine professionelle Rechtsberatung (Fachanwalt für Internetrecht) zu empfehlen. Die Gefahr, mit gut gemeinten Tipps gefährliches Halbwissen zu verbreiten, ist zu groß.

[GLenk]

...eine professionelle Rechtsberatung (Fachanwalt für Internetrecht) zu empfehlen. ...

Wenn es um eine verlässliche Rechtsberatung ginge, stimme ich dir zu.

Den Gedanken,, dass Privatleute nun für jede Datenschutzfrage diese Gelddruckmaschine für die RA-Branche anwerfen müssen, möchte ich gar nicht weiterdenken. Da gibt es dann immer wieder Anlässe.

Ich habe den Support von netcup,  die LfDI in NRW und auch BW angeschrieben.
Da es eine "Beratungsanfrage" ist, rechne ich nicht mit einer zeitnahen Rückmeldung der Aufsichtsbehörden.

[pluto]

Wann benötige ich eine Auftragsverarbeitungsvereinbarung (AVV)?

Du hast keine notwendig meiner Meinung nach. 🤔

[duda]

Den Gedanken,, dass Privatleute nun für jede Datenschutzfrage diese Gelddruckmaschine für die RA-Branche anwerfen müssen, möchte ich gar nicht weiterdenken.

Das ist ein Trauerspiel, da gebe ich dir recht. Aber man bekommt doch inzwischen auch immer wieder mal die Aussage an den Kopf geworfen:

Sie können doch klagen!

Das läuft auf dasselbe hinaus.

[com]

Hier ist sicherlich (nur) eine professionelle Rechtsberatung (Fachanwalt für Internetrecht) zu empfehlen. Die Gefahr, mit gut gemeinten Tipps gefährliches Halbwissen zu verbreiten, ist zu groß.

Rechtssicherheit kann es nur beim Anwalt geben. Hier ist Unterhaltung, Gedankenaustausch, mehr nicht.

[Bit]

Rechtssicherheit kann es nur beim Anwalt geben.

Wohl wahr, dennoch, wenn ich Art. 2 (2) c DSGVO lese, scheint es doch recht eindeutig:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

Eine Privatpersonen braucht keinen "Auftragsverarbeiter", sondern lediglich Dienstleister und Lieferanten.
Sie muss noch nicht einmal eine Datenschutzerklärung auf der Webseite haben und u.U. nicht mal ein Impressum.

[duda]

muss noch nicht einmal eine Datenschutzerklärung auf der Webseite haben

Wobei man den Begriff "Datenschutzerklärung" (sofern eine Kategorie "Datenschutz" vorhanden ist) erst gar nicht verwenden sollte. Mit einer "Erklärung" wird im Beamtendeutsch eine Festschreibung verstanden (wie bspw. auch Steuererklärung). Die deutlich bessere Wortwahl ist: "Datenschutzhinweise" oder Datenschutzinformationen".

[GLenk]

... professionelle Rechtsberatung ...

Rechtssicherheit kann es nur beim Anwalt...

Ich stimme Dir voll zu, im Forum geht es mir nur um Gedankenaustausch, Tipps, Erfahrungen.

Rechtssicherheit ist bei der DSGVO auch in einfachen Fragen wie diese hier nach 5 Jahren noch nicht gegeben.

Das ist ja eine Goldgrube für die Anwaltsbranche und die anhaltenden Diskussionen und Wortklaubereien.
Der Gipfel ist leider, dass selbst höchstrichterliche Entscheidungen (EuGH), deren Zweck ua die Klarstellung für die Rechtsauslegung sein sollte, wieder Gegenstand von erneuten  Schwurbeleien werden können. Selbst unter den Aufsichtsbehörden und dann noch mal nur auf DE reduziert herrscht ja keine Einigkeit. Im Spiel sind zB auch Standortinteresse.

Zwischenzeitlich habe ich den Dienstleister und die Datenschutzaufsicht in NRW und BW mit der Frage befasst.
Der erstere wird mir bald über eine Fachabteilung seine Auffassung in meinem Fall mitteilen.
Mal schauen, wie lange die Behörden brauchen. Ist ja nur eine Beratungsanfrage, also keine Verpflichtung, Tätig zu werden

die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung enflitstehenden Pflichten sensibilisieren;

[GLenk]

... zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten...

Im meine auch beim Hoster eine gewisse Rechtsunsicherheit wahrzunehmen
Bei der Abfrage AVV ja oder nein (s.o.) weisen sie auch auf ihre FAQ zur AVV hin und schreiben zum Haushaltsvorbehalt

Im Fall einer Verarbeitung personenbezogener Daten, die unter die sog. "Haushaltsausnahme" (Artikel 2 Absatz 2 litera c DSGVO) fällt, über netcup GmbH-Dienste hält die netcup GmbH aus Gründen des Betroffenenschutzes die analoge Anwendung der Auftragsverarbeitung und damit auch den Abschluss eines entsprechenden AVV für sachgerecht.

und dann in der FAQ

Sobald ein externer Dienstleister im Rahmen eines Auftrags die Möglichkeit hat, auf personenbezogene Daten zuzugreifen, sollte im Detail geprüft werden, inwiefern die Regelungen zur Auftragsverarbeitung Anwendung finden

Deshalb  habe ich nun bei den Aufsichtsbehörden für den Verantwortlichen und den potentiellen Auftragsverarbeiter angefragt, s.a. vorstehende Antwort an com.

[GLenk]

...Du hast keine notwendig meiner Meinung nach. 🤔

Danke für die Bestätigung, das sehe ich auch immer noch so.

Auffallend fand ich zunächst die Trennung von Root-Servern und VPS-Servern auf der Seite von netup.
Dies virtuellen Maschinen (VPS) werden auf der zugehörigen Seite  jedoch fast mit Root-Servern gleichgesetzt

Sie sind gleich ausgestattet wie unsere Root-Server. Einzig die dedizierten CPU-Kerne, die Zufriedenheitsgarantie und die sehr hohe garantierte Mindestverfügbarkeit von 99,9% im Jahresmittel sind bei den VPS nicht enthalten. Dafür garantieren wir Ihnen bei den VPS den weltweit besten Preis.

Auf die Eigenschaft "Root-Server" lege ich soviel Wert weil in den AGB mit

Soweit netcup die Verwaltung und Administrierung des überlassenen Servers übernommen hat, erhält der Kunde keinen root-Zugriff zum Server

und die wichtige Abgrenzung erfolgt, dass in dem Fall Netcup ja keine Dienstleistungen im Zshg. mit der Software, Installation, Wartung und Datensicherung erbringt.
So verstehe ich das jedenfalls.

[GLenk]

Zwischenzeitlich habe ich den Dienstleister und die Datenschutzaufsicht in NRW und BW mit der Frage befasst.
Der erstere wird mir bald über eine Fachabteilung seine Auffassung in meinem Fall mitteilen.

Die heutige Antwort des Dienstleisters war ausweichend: sie könnten mir hier bei der Frage nicht weiterhelfen, da sie keine Rechtsberatung anbieten.
Bleibt abzuwarten, was die Beratung durch die Datenaufsicht ergeben wird.

[GLenk]

Lt.  der heutigen Antwort der Datenaufsicht schien die Anwendbarkeit der Haushaltsausnahme sehr wahrscheinlich:

Voraussetzung sei, dass der Mailverkehr über Ihren Mailserver ausschließlich im privaten Bereich erfolge.
Besonderheiten aus dem TK-Recht ergäben sich vorliegend nicht, da es sich bei dem mir betriebenen Mail-Server nicht um einen Telekommunikationsdienst handele. Der Dienst sei ein rein privates, nicht kommerzielles Angebot und würde daher nicht "gewöhnlich gegen Entgelt" i.S.d. § 3 Nr. 24, 61 TKG erbracht.

Meine Interpretation war zunächst:
Die Mailkonten der Familienmitglieder als Privatperson werden natürlich auch für die Kommunikation mit Behörden oder Händlern genutzt, wobei wir uns immer in der Rolle Bürger/Kunde befinden (für mich privat).

Aber es scheint restriktiver: 
Lt. Einschätzung der Referentin der Aufsichtsbehörde sollte ich einen AV-Vertrag abschliessen, da auf dem Mailserver auch die Mails (und damit personenbezogenen Daten) der öffentlichen Stellen und Unternehmen verarbeitet würden, welche nicht unter die Haushaltsausnahme des Art. 2 Abs. 2 Buchst. c) DS-GVO fielen.

Vgl auch ErwGr 18

Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. .... 3Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

[Bit]

da auf dem Mailserver auch die Mails (und damit personenbezogenen Daten) der öffentlichen Stellen und Unternehmen verarbeitet würden

Aber doch nur von Dir und nicht vom Hoster, der lediglich die tote Hardware zur Verfügung stellt.

Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

Das heißt vielleicht, daß der Hoster zum Bereitstellen einen AV braucht (für seine Ressourcen und Dienstleister) – aber Du doch nicht!

Überhaupt: hast Du Dir den mal vorlegen lassen?
Kann nicht sein, daß der Hoster Dir seine Bedingungen aufdrückt: Du arbeitest nicht in seinem Auftrag.

Wenn das Zitat zum Tragen kommt, wäre es höchstens umgekehrt: daß Du dem Hoster einen Auftrag (zur Bereitstellung von Ressourcen) erteilst und damit auch die Bedingungen. Also müsstest Du nach dieser Logik gegebenenfalls den Vertrag nach Deinen Interessen formulieren!

[GLenk]

da auf dem Mailserver auch die Mails (und damit personenbezogenen Daten) der öffentlichen Stellen und Unternehmen verarbeitet würden

Aber doch nur von Dir und nicht vom Hoster, der lediglich die tote Hardware zur Verfügung stellt.

Genau: Ich bin der alleinige Verantwortliche, der Mittel und Zwecke der Verarbeitung auf dem angemieteten Server bestimmt

a) Die Behörde hat bestätigt, dass ich der Verantwortliche (Mittel wie Serversoftware und Zwecke wie Mailserver) bin.
b) Die Behörde hat wg. der Verarbeitung von pbD von Mailpartnern, die nicht zum engen familiären Kreis gehören, auch die Haushaltsausnahme ausgeschlossen.
Als Beispiel hatte ich die Kommunikation mit der Datenschutzbehörde selbst oder mit Händler (wirtschaftliche Zwecke) genannt.

Die DSGVO ist  anwendbar.

Als Verantwortlicher habe ich einen Rechner gemietet, auf dem die Verarbeitung stattfindet.
Alleine daraus entsteht vermutlich die Notwendigkeit, einen AV-Vertrag abzuschließen (zumindest sah es die Düsseldorfer Behörde so).

Überhaupt: hast Du Dir den mal vorlegen lassen?
Kann nicht sein, daß der Hoster Dir seine Bedingungen aufdrückt: Du arbeitest nicht in seinem Auftrag.

Der AV-Vertrag wird im Kundenbereich generiert.
In meinem Fall habe ich zB keine Details (Detallierte Angabe des Daten oder Kategorien) dort angegeben, weil sie mir alleine bekannt sind und nur von mir mit dem Mailserver verabeitet werden, aber eben auf der Infrastruktur des hosters.
Deshalb  beschreibt der Hoster zB seine TOMs und bindet mich als Ansprechpartner ein, falls zB Betroffene ihre Rechte wahrnehmen wollen. Der Hoster ist in dem Fall Auftragnehmer und ich Auftraggeber.
Bestandteil eine des AV-Vertrages ist auch die Verpflichtung zur Verschwiegenheit ausgenommen von gesetzlichen Offenlegungspflichten.

Wenn das Zitat zum Tragen kommt, wäre es höchstens umgekehrt: daß Du dem Hoster einen Auftrag (zur Bereitstellung von Ressourcen) erteilst und damit auch die Bedingungen.

Formal habe ich ja als Auftraggeber agiert.

Also müsstest Du nach dieser Logik gegebenenfalls den Vertrag nach Deinen Interessen formulieren!

Es wird vom Hoster tatsächlich auch auf eine anwaltliche Beratung hingewiesen.
Dann würde ich aber eher den eigenen Mailserver abreißen und nur mailbox/posteo nutzen.

Fazit: Die Haushaltsausnahme ist juristisch so eng gefasst (vgl zB Artikel DrDatenschutz), dass sie selten zutreffen wird, sobald es um eigene Server geht.
Erinnert mich dennoch ein bisschen an das zur Bedeutungslosigkeit zerredete Koppelungsverbot.