Unter einem Hosting Provider ist jemand zu verstehen, der einem Webseitenbetreiber einen digitalen Speicherort für eine Webseite auf seinem Webserver bereitstellt. Unternehmen greifen dafür in der Regel auf externe Hosting Provider zurück, da sich das Betreiben eines eigenen Servers aus Kostengründen nicht rentiert. Häufig erhält der Hosting Provider automatisch die Daten der Webseitenbesucher, wie etwa Name, Adresse, E-Mail und so weiter. Teilweise bieten Hosting Provider den Unternehmen darüber hinaus an, das Verhalten der Webseitennutzer zu analysieren, so dass sie Einblicke in die IP-Adresse, Kommunikationsdaten und andere Informationen erhalten.

Bei diesen Daten handelt es sich um personenbezogene Daten gemäß Art. 2 Absatz 1, Art. 4 Nr. 1 DSGVO. Damit unterfällt jede dieser Datenerhebungen der DSGVO und muss konform zu dieser erfolgen. Die Hosting Provider, die regelmäßig als Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig werden, haben die Daten daher vor allem recht- und zweckmäßig und in für den Nutzer in transparenter Weise zu verarbeiten.

Art. 13 DSGVO legt in diesem Rahmen die Informationspflichten des Verantwortlichen fest, welcher mit der Formulierung und Bereitstellung der Datenschutzbestimmungen nachgekommen wird.

Nach Art. 13 Absatz 1 lit. a DSGVO hat der Verantwortliche der betroffenen Person nun „den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters“ mitzuteilen.

Gemäß Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Als Auftragsverarbeiter gemäß Art. 28 DSGVO, also als eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Nr. 8 DSGVO), ist der Hosting Provider allerdings gerade nicht zugleich als „Verantwortlicher“ anzusehen. Diese beiden Positionen schließen sich insoweit aus. Dem Wortlaut des Art. 13 Absatz 1 lit. a DSGVO zufolge muss der Hosting Provider daher nicht als „Verantwortlicher“ offengelegt beziehungsweise namentlich benannt werden.

Eine Offenlegungspflicht ergibt sich auch nicht aus Art. 13 Absatz lit. e DSGVO. Nach dieser Regelung sind im der betroffenen Person (also dem Besucher der Webseite) „gegebenenfalls“ die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten mitzuteilen.

Zwar handelt es sich bei einem Hosting Provider um einen Empfänger im Sinne der DSGVO, da es naheliegend ist, dass ihm als Auftragsverarbeiter personenbezogene Daten offengelegt werden. Im Gegensatz zu Art. 13 Absatz lit. a DSVO wird aber gemäß Art. 13 Absatz 1 lit. e DSGVO gerade nicht explizit verlangt, den Namen und den Kontakt dieses „Empfänger“ anzugeben. Überdies sind diese Angaben lediglich „gegebenenfalls“ mitzuteilen, sodass insgesamt keine Offenlegungspflicht des Hosts daraus abgleitet werden muss.

Die namentliche Offenlegung könnte dann allerdings aus dem allgemeinen Transparenzgebot der DSGVO folgen (vergleiche Art. 5 Absatz 1 lit. a, Art. 12 Absatz 1 DSGVO).

Dem DSGVO-Erwägungsgrund 39 zufolge sollte für natürliche Personen „Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden […].“

Dem steht der Erwägungsgrund 60 DSGVO gegenüber, der davon spricht, dass es die Grundsätze der Datenverarbeitung erforderlich machen, die betroffene Person über die Existenz des Verarbeitungsvorgangs und deren Zwecke zu unterrichten. Dafür wiederum, so kann man argumentieren, genügt das bloße Wissen um die Verarbeitung der Daten bei einem Hosting Provider. Eine ausdrückliche Benennung desselbigen ist danach nicht vonnöten.

Aus Sicht der betroffenen Person ist der Transparenzgedanke jedoch möglichst weit auszulegen. Diese Auffassung wird auch von dem Gegenstand und dem Ziel der DSGVO getragen – Datenschutz wird als Grundrecht verstanden – ihm wird insoweit ein hoher Stellenwert eingeräumt. Der Grundsatz der Transparenz soll im weiteren Sinne auch das Recht der betroffenen Person auf informationelle Selbstbestimmung stärken. Gerade aus Sicht des Webseiten-Nutzers ist die Möglichkeit, sich über den jeweiligen Hosting Provider, der letztendlich seine Daten verarbeitet, zu informieren, von großem Interesse. Vor allem bei Gesundheitsdienstleistern, welche sensible und daher besonders schutzbedürftige Gesundheitsdaten verarbeiten, ist eine weite Auslegung des Transparenzgedankens angezeigt.

Zusammengefasst gibt es keine klare Pflicht aus der DSGVO, den Hosting Provider explizit zu benennen. Wer das also nicht möchte, für den kann man juristisch mit guten Argumenten darlegen, dass die abstrakte Information zur Nutzung eines Hostings Providers an sich ausreicht. Eine definitive Rechtsklarheit, etwa durch ein gerichtliches Urteil, gibt es zu dieser Ansicht allerdings (noch) nicht.

Wenn ein Anbieter kein Problem damit hat, den Hosting-Provider auch namentlich zu nennen, sollte dies im Wege einer transparenten und nutzerfreundlichen Datenschutzbestimmung auch so erfolgen. Dies weckt Vertrauen auf Seiten des Besuchers und dürfte für den Webseitenbetreiber daneben auch kein weiteres Risiko darstellen.