Unternehmen müssen Hosting, Domain und alle administrativen Zugänge selbst kontrollieren, weil sie nach DSGVO immer der Verantwortliche sind und vollständige Nachweisbarkeit sowie Sicherheit sicherstellen müssen. Agenturhoheit führt zu Risiken bei Compliance, Zugriffskontrollen und Offboarding, weshalb nur rollenbasierte und widerrufbare Adminrechte für Dienstleister zulässig sind
Das Gestalten und Betreiben einer Website kann ein zeitintensives und nicht immer ganz unkompliziertes Unterfangen für ein Unternehmen sein. Die Lösung, diese Arbeit auszulagern und an Agenturen zu übergeben, scheint simpel und naheliegend. Rechtlich jedoch kann es zu Problemen führen, zentrale Schlüsselsysteme wie Hosting, Domain, DNS oder Adminrechte komplett in die Hände von Agentur zu legen, denn nach DSGVO bleibt das Unternehmen stets der Verantwortliche und benötigt dafür eine uneingeschränkte Kontrolle über seine digitalen Grundlagen. Ohne diese Hoheit verliert es nicht nur die Übersicht, sondern riskiert empfindliche Lücken in Nachweisen, Sicherheit und Compliance.
Damit eine Website rechtskonform betrieben werden kann, braucht der Verantwortliche jederzeitigen Zugriff auf die technischen und organisatorischen Kernsysteme. Dazu gehören Hostingverträge, Backups, Konfigurationen, Zugangskontrollen und alle administrativen Einstellungen. Eine Agentur kann diese Aufgaben unterstützen, doch sie darf niemals Eigentümer dieser Systeme sein. Die Lösung liegt in einer klaren Struktur: Die Kundenseite bleibt Owner, die Agentur erhält lediglich rollenbasierte und jederzeit widerrufbare Adminzugänge.
Die fünf größten Risiken, wenn die Agentur die Schlüssel besitzt
1. Unklare Rollen zwischen Verantwortlichem und Auftragsverarbeiter
Arbeiten Agenturen weisungsgebunden, dann agieren sie als Auftragsverarbeiter. Verfügen sie gleichzeitig über die volle Systemhoheit, widerspricht das der DSGVO-Systematik. Der Verantwortliche muss Incidents, Betroffenenrechte und Datenschutzfolgenabschätzungen steuern können. Ohne eigene Kontrolle wird das nahezu unmöglich.
2. Rechenschaft und Nachweisbarkeit brechen zusammen
Compliance ist nur belegbar, wenn der Verantwortliche Logs, Berechtigungsübersichten, Löschprotokolle und Rechteprüfungen eigenständig abrufen kann. Fehlt dieser Zugang, entsteht ein strukturelles Nachweisproblem. Die Rechenschaftspflicht verlangt jedoch eine aktive und belegbare Kontrolle. Ohne administrative Einsicht verliert das Unternehmen den roten Faden.
3. Sicherheitslücken und Abhängigkeiten von der Agentur
Backups, Multifaktorauthentifizierung, Wiederherstellbarkeit und Schlüsselrotation sind elementare Sicherheitsmaßnahmen. Sie müssen vom Verantwortlichen gesteuert oder zumindest überwacht werden. Exklusive Agenturhoheit erzeugt ein gefährliches Lock-In. Im Fall eines Incidents kann dies zu Verzögerungen und erhöhten Risiken führen.
4. Unkontrollierte Drittlandübermittlungen durch die Agentur
Setzt die Agentur eigene Hostinglösungen oder Dienstleister mit US-Bezug ein, trägt das Unternehmen das rechtliche Risiko der Datenübermittlung. Ohne eigene Kontrolle kann es weder prüfen noch minimieren, ob Garantien bestehen oder Transfers sachgerecht dokumentiert werden.
5. Offboarding der Agentur mit hohem Konfliktpotenzial
Wenn Projekte enden, müssen Zugänge entzogen, Daten zurückgegeben und Löschbestätigungen erstellt werden. Dies ist nur dann möglich, wenn die Owner-Rolle beim Kunden liegt. Widerrufbare Adminrechte auf Seiten der Agentur verhindern, dass ein Offboarding zur riskanten Auseinandersetzung werden kann.
Häufige Gegenargumente von Seiten einer Agentur und was wirklich gilt
„Wir brauchen Ownerrechte, sonst können wir nicht arbeiten.“
Das stimmt nicht. Agenturen benötigen lediglich technische Adminrechte. Vertragsrelevante Einstellungen wie Domain, Abrechnung oder DNS gehören ausschließlich in Kundenhand. RBAC mit klaren Rollenprofilen bietet hier eine saubere Lösung.
„Für den Kunden ist das zu kompliziert.“
„So läuft es in der Branche seit Jahren.“
Branchenüblichkeit ist kein rechtlicher Maßstab. Risikoanalysen zeigen seit langem, dass Agenturhoheit Sicherheitsrisiken sowie Drittlandübermittlungen verstärkt und den Verantwortlichen in Nachweisschwierigkeiten bringt. Die DSGVO verlangt ein kontrollierbares und überprüfbares System.
„Wir garantieren Sicherheit, ihr müsst euch um nichts kümmern.“
Sicherheit ist nicht delegierbar. Der Verantwortliche muss das Schutzniveau festlegen und überprüfen. Dazu gehört der Blick auf Logs, Backupstrategien, Wiederherstellbarkeit, Zugriffskontrollen und Systemänderungen.
So wird der Betrieb auch mit Agentur rechtssicher und praktikabel
- Owner beim Kunden:
Domainverwaltung, Hostingverträge, DNS, Abrechnungsdaten und Break-Glass-Zugänge bleiben vollständig in Kundenhand. - RBAC und 2FA:
Jede Person erhält einen eigenen Account. Rechte werden nach dem Prinzip des geringsten Privilegs vergeben und zeitlich begrenzt. - Auftragsverarbeitungsvertrag:
Der AVV regelt Weisungsbindung, technische und organisatorische Maßnahmen, Unterstützungsleistungen, Subprozessoren, Orte der Verarbeitung, Datenrückgabe und Auditrechte. - Protokollierung und Backups:
Administrative Aktionen werden protokolliert. Backups folgen festen Fristen. Die Wiederherstellung berücksichtigt datenschutzfreundliche Löschkonzepte, damit keine gelöschten Daten unbeabsichtigt wieder aktiv werden. - Offboarding-Routine:
Rechteentzug, Schlüsselrotation, Rückgabe aller Daten, Löschbestätigungen und Kontrolle sämtlicher Umgebungen wie Test, Staging und Offsite.
FAQ
Immer das Unternehmen, das Zweck und Mittel der Verarbeitung festlegt. Die Agentur ist kein Verantwortlicher und muss weisungsgebunden arbeiten.
Nein. Ausreichend sind individuelle technische Adminrechte mit RBAC. Diese Rechte müssen jederzeit widerrufbar sein.
Wesentlich sind Weisungsbindung, TOM nach Art. 32 DSGVO, Subprozessoren, Orte der Verarbeitung, Incident-Support, Datenrückgabe, Löschung und Auditrechte sowie Transparenz zu Art. 82 DSGVO.
Standorte in der EU oder im EWR priorisieren, Transfers dokumentieren, Garantien wie Standardvertragsklauseln prüfen und regelmäßig reassessen.
