Ja, die EU-DSGVO gilt auch für private Webseiten: zwar sagt Art. 2 Abs. 2 Nr. c, dass "zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" die Verordnung nicht angewendet werden muss. In Erwägungsgrund Nr. 18 Satz 3 steht aber dazu, "Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.".
Wir haben das schon immer als klares "ja" interpretiert, aber unsere Kunden waren da teilweise anderer Auffassung. Damit es keine Unklarheiten gibt haben wir für Dich den Landesdatenschutzbeauftragten des Landes Bremen (die zuständige Aufsichtsbehörde) gefragt, die unsere Auffassung bestätigt haben:
Sie fragen an, ob Sie als Webhoster mit Ihren Kunden, die Webspaces ausschließlich zu persönlichen bzw. familiären Tätigkeiten nutzen, einen Auftragsverarbeitungsvertrag schließen müssen.
Diese Frage ist mit Ja zu beantworten. Denn auch wenn eine private Homepage zu persönlichen Zwecken genutzt wird, so werden dennoch die Nutzungsdaten (Protokolldaten) von allen Besuchern dieser Webseite verarbeitet. Im Rahmen dieser Verarbeitung wird in der Regel auch die IP-Adresse – wenn auch nur für einen kurzen Zeitraum – erhoben. Die IP-Adresse ist ein personenbeziehbares Datum. Da Sie die Nutzungsdaten im Auftrag verarbeiten, muss allein aus diesem Grund ein Vertrag geschlossen werden. An dieser Stelle ist darauf hinzuweisen, dass der Betreiber der Webseite (Ihr Kunde) für die Verarbeitung der Nutzungsdaten verantwortlich ist, auch wenn diese Datenverarbeitung durch Sie als Webhoster durchgeführt wird.
Die Frage, was als ausschließlich persönlich/familiär gilt und wie man diese Tätigkeiten von beruflich/geschäftlich abgrenzt, kann nicht pauschal beantwortet werden und erfordert in den meisten Fällen eine Einzelbewertung. Typisch privat sind in der Regel Daten zur eigenen Freizeitgestaltung, zu Hobbies, Urlaub, Unterhaltung, also etwa Adressen und Kontaktdaten, Geburtstage etc.
Es sei jedoch darauf hingewiesen, dass Art. 2 Abs. 1 lit. c DSGVO restriktiv auszulegen ist. Eine persönliche oder familiäre Tätigkeit ist „öffentlichkeitsfeindlich“, weshalb etwa das Veröffentlichen von Daten im Internet (z. B. das Veröffentlichen von eigentlich privaten Familien-Stammbäumen oder personenbezogenen Daten von Freunden oder Familienangehörigen), nicht mehr unter die Ausnahmeregelung in Art. 2 Abs. 1 lit. c DSGVO fällt. Jegliche öffentlich (online) zugängliche personenbezogene Daten sind nicht privilegiert. Öffentlich sichtbare Datensammlungen unterfallen stets den Regelungen der DSGVO. Dies gilt insbesondere auch dann, wenn der verantwortliche Webseitenbetreiber (Ihr Kunde) sich eines Dienstleisters bedient und Sie die Daten im Auftrag verarbeiten.
Die Antwort ist also ganz klar: ja, auch für rein private Webseiten ist die EU-DSGVO anzuwenden und damit ein Vertrag zur Auftragsdatenverarbeitung abzuschließen.