Was ist Host Europe?
Die Host Europe GmbH ist ein deutscher Hosting-Anbieter. Er verkauft Webhosting, Managed Hosting und Cloud Hosting sowie verschiedene Software-as-a-Service-Lösungen. Das Unternehmen hat gut 200.000 Kunden. Es gehört zur britischen Host Europe Group mit Sitz in England. Seit 2017 gehört diese zum US-amerikanischen Hosting-Anbieter GoDaddy. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie Leistungen von Host Europe in Anspruch nehmen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist Host Europe datenschutzrechtlich relevant?
Buchen Unternehmen Hosting-Leistungen bei Host Europe, erheben sie darüber Nutzerdaten und geben diese an den Anbieter weiter. Dabei speichern sie – je nach Geschäftsmodell – unter anderem personenbezogene Daten wie
- Kundennamen,
- E-Mails,
- Telefonnummern,
- Adressen und
- Bankverbindungen.
Um diese Daten datenschutzkonform zu erheben und an Host Europe zu übermitteln, müssen Unternehmen verschiedene datenschutzrechtliche Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) beachten.
Host Europe speichert seine Daten auf Servern in Köln sowie im französischen Strasbourg. Die Daten liegen damit in der EU und sind durch die Vorgaben der DSGVO geschützt. Seit 2017 gehört die Host Europe Group und damit auch die deutsche Host Europe GmbH jedoch zum US-amerikanischen Anbieter GoDaddy. GoDaddy verarbeitet Kundendaten über einen Dienstleister in der Ukraine – und damit außerhalb der EU. Das ist datenschutzrechtlich problematisch.
Host Europe datenschutzkonform nutzen
Um Host Europe datenschutzkonform zu nutzen, müssen Unternehmen diese Vorgaben beachten:
Vertrag zur Auftragsverarbeitung schließen
Mit einer Hosting-Leistung von Host Europe sammeln und speichern Unternehmen sensible Daten ihrer Kunden. Sie geben diese an Host Europe weiter, um sie weisungsgebunden verarbeiten zu lassen. Dafür benötigen sie gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit Host Europe. Unternehmen finden diesen in ihrem Account. Sie sollten den Vertrag überprüfen, ob er festhält,
- welche Daten sie an Host Europe weitergeben,
- wie lange Host Europe die Daten speichert,
- warum Host Europe die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung aktualisieren
Unternehmen müssen die Leistungen, die sie von Host Europe in Anspruch nehmen, in ihrer Datenschutzerklärung aufführen. Diese Pflicht gibt Art. 13 DSGVO vor. Sie müssen dazu in ihrer Datenschutzerklärung festhalten,
- welche Leistungen sie von Host Europe nutzen,
- welche personenbezogenen Daten sie dabei erheben,
- warum Host Europe dabei personenbezogene Daten erhält,
- welche Rechtsgrundlage das erlaubt,
- dass sie für die Datenweitergabe einen AV-Vertrag mit Host Europe geschlossen haben und
- dass User ihre Einwilligung in die Datenerhebung und Datenweitergabe jederzeit widerrufen können.
Damit User besser verstehen, wie ihre Daten bei Host Europe verwendet werden, sollten Unternehmen zusätzlich per Link auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.
Standardvertragsklauseln mit Host Europe abschließen?
Derzeit ist nicht geklärt, welche Kundendaten Host Europe in der Ukraine und damit außerhalb der EU verarbeitet. Sollte es sich dabei um sensible Daten wie personenbezogene Daten handeln, müssen Unternehmen mit Host Europe Standardvertragsklauseln abschließen. Ob das derzeit notwendig oder möglich ist, ist unklar.
Rechtsprechung zu Host Europe
Unternehmen müssen mit Host Europe einen AV-Vertrag schließen. Liegt dieser nicht vor, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Das erlaubt Art. 83 Abs. 4 lit. a DSGVO. Eine Rechtsprechung liegt – soweit ersichtlich – zum AV-Vertrag bisher nicht vor. Zwei Datenschutzbehörden haben jedoch Strafen für einen fehlenden AV-Vertrag ausgeschlossen:
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart gab zwischen 2016 und 2018 Mitgliederdaten an Dienstleister weiter, um diese weisungsgebunden verarbeiten zu lassen. Einen AV-Vertrag schloss der Verein mit den Dritten jedoch nicht. Damit fehlte der Datenübermittlung eine Rechtsgrundlage. Die Datenschutzbehörde Baden-Württemberg sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro gegen den Fußballclub aus.
Datenschutzbehörde Hamburg zum AV-Vertrag
Lassen Unternehmen von einem anderen Unternehmen Daten weisungsgebunden verarbeiten, sind beide Parteien für einen AV-Vertrag verantwortlich. Das stellte die Datenschutzbehörde Hamburg fest. Sie sprach daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen ein deutsches Versandunternehmen aus. Dies hatte sich nicht verantwortlich gesehen, einen AV-Vertrag für die Zusammenarbeit mit einem spanischen Dienstleister aufzusetzen.