Zum Inhalt springen Zur Navigation springen
Wartungsarbeiten – Ist das eine Auftragsverarbeitung nach der DSGVO?

Wartungsarbeiten – Ist das eine Auftragsverarbeitung nach der DSGVO?

Das (unbeliebte) Thema Auftragsdatenverarbeitung ist aus dem Alltag eines Datenschutzbeauftragten nicht wegzudenken. Häufig ist es sehr mühsam, die Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung i.S.d. § 11 BDSG abzuschließen ist. Insbesondere Dienstleister, die lediglich Wartungsarbeiten an einem Tool durchführen und dabei den Zugriff auf personenbezogenen Daten des Auftraggebers gar nicht benötigen, stellen sich quer.

(Noch) Aktuelle Rechtslage

Gemäß § 11 BDSG hat der Auftraggeber mit dem Auftragnehmer, der in seinem Auftrag personenbezogenen Daten erhebt, verarbeitet oder nutzt, eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen (kurz ADV). Nach § 11 Abs. 5 BDSG gilt dies auch für die Fälle, in denen der Dienstleister lediglich mit der Prüfung oder Wartung automatisierter Verfahren (diverse Tools) oder von Datenverarbeitungsanlagen (z.B. Server) beauftragt wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Das heißt, dass nach dem BDSG mit dem Anbieter einer Software auch dann eine ADV abzuschließen ist, wenn dieser nur gelegentlich per Fernwartung oder dann vor Ort technische Fehler der Software behebt. In der Regel hat der Dienstleister überhaupt kein Interesse auf die personenbezogenen Daten zuzugreifen, da er diese für die Behebung der Fehler gar nicht braucht. Um eine Auftragsdatenverarbeitung wird er trotzdem nicht herumkommen.

Am 25. Mai 2018 wird das BDSG durch die Datenschutz-Grundverordnung (DSGVO) abgelöst.

Wartungsarbeiten auch nach der DSGVO eine Auftragsverarbeitung?

Diese Frage ist schon jetzt bei den Juristen umstritten. Einigkeit besteht lediglich darin, dass die DSGVO im Gegensatz zu BDSG keine Sonderregelung für die Wartung oder Prüfung von automatischen Verfahren enthält.

1. Auffassung: Es liegt eine Auftragsverarbeitung vor, Art. 28 DSGVO findet direkte Anwendung

Schmidt/Freund in ZD 2017, 14 (16) sind der Ansicht, dass es bei der Systemverwaltung unproblematisch um eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt:

„Die Regelungen des Art. 28 DSGVO sind direkt auf die Systemwartung anzuwenden. Bei der Systemwartung erhält der Dienstleister in der Regel die Möglichkeit, auf personenbezogenen Daten zuzugreifen. Es handelt sich dabei um eine Verarbeitung i.S.d. Art. 4 Nr. 4 DSGVO. Ob Systemverwaltung dabei eine Offenlegung „durch Übermittlung“, „Verarbeitung“ oder „eine andere Form der Bereitstellung“ ist, kann als akademische Frage offen bleiben.

All dies sind nach Art. 4 Nr. 2 DSGVO aber nur Beispiele für die eigentliche Definition der Verarbeitung als „Vorgang … im Zusammengang mit personenbezogenen Daten“. Diese Definition erfüllt die Wartung eines IT-Systems in jedem Fall. Die Verarbeitung der personenbezogenen Daten erfolgt auch im Auftrag des Verantwortlichen. Auch nach dem gesetzlichen Schutzzweck kann ein solcher Vorgang nicht dem Anwendungsbereich der DSGVO entzogen werden, sofern er mit einer Zugriffsmöglichkeit auf die personenbezogenen Daten und damit mit einer Gefahr für das informationelle Selbstbestimmungsrecht der Betroffenen verbunden ist.

Diese Verarbeitung erfolgt auch im Auftrag des Verantwortlichen. Es handelt sich damit um einen Fall der Auftragsverarbeitung gem. Art. 28 Abs. 1 DSGVO, die unter den Voraussetzungen des Art. 28 DSGVO zulässig ist.“

2. Auffassung: Es liegt eine Auftragsverarbeitung vor, Art. 28 DSGVO findet analoge Anwendung

Müthlein in RDV 2016, 74 (83) ist der Auffassung, dass die Regelungen über die Auftragsverarbeitung in Art. 28 DSGVO analog anzuwenden sind, da DSGVO eine der § 11 Abs. 5 BDSG vergleichbare Regelung nicht enthält.

3. Auffassung: Keine Auftragsverarbeitung nach Art. 28 DSGVO

Lissner im Tagungsband der Herbstakademie der DSRI 2016, 401 (414) stellt es auf den Willensmoment des Dienstleisters an:

„Die DSGVO enthält im Vergleich zum BDSG einen deutlich weiter gefassten Begriff der Datenverarbeitung. Mit Art. 4 Nr. 2 DSGVO bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen zielt nicht auf eine „Datenverarbeitung“ ab – die Möglichkeit, Daten zur Kenntnis zu nehmen, ist vielmehr nur ein – nicht auszuschließendes – „Beiwerk“. Trotz der deutlich weiter gefassten Definition des Verarbeitungsbegriffs der DSGVO dürfte es schwer fallen, derartige Konstellationen unter den Begriff der „Verarbeitung“ zu subsumieren. Die bloße Möglichkeit der Kenntnisnahme könnte allenfalls als „Offenlegung durch Verbreitung oder eine andere Form der Bereitstellung“ oder als „Auslesen“ eingestuft werden. Diese Begriffe setzten jedoch rein vom Wortlaut her allesamt ein Willensmoment auf Seitens des Verarbeiters voraus – dies liegt im Falle eines Vertrags zur Prüfung oder Wartung automatisierter Verfahren und Datenverarbeitungsanlagen jedoch gerade nicht vor, da ein solcher Zugriff nicht beabsichtigt ist. Die besseren Gründe sprechen daher wohl dafür, derartige Konstellationen zukünftig nicht mehr unter die Vorgaben der Auftragsverarbeitung zu fassen. Ein Schutzdefizit auf Seiten der Betroffenen sollte damit nicht verbunden sein, da ein Dienstleister, der sich unbefugt Zugriff auf personenbezogene Daten verschafft, als „verantwortliche Stelle“ einzustufen sein dürfte.“

4. Auffassung: Es liegt eine Übermittlung vor, sodass eine Rechtsgrundlage erforderlich ist

Es könnte auch überlegt werden, ob die Wartung oder Prüfung von Soft- oder Hardwaresystemen künftig als datenschutzrechtlich rechtfertigungsbedürftiger Vorgang anzusehen ist. Als Folge bräuchte man für die Tätigkeit der Dienstleister eine Rechtsgrundlage, da dieser selbst zum Verantwortlichen in Sinne der DSGVO wird. Als Rechtsgrundlage für die Wartung oder Prüfung von Soft- oder Hardwaresystemen könnte Art. 6 Abs. 1 f) DSGVO in Betracht kommen. Danach ist die Verarbeitung von personenbezogenen Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.

Stellungnahme

Bei der Wartung und Prüfung von Soft- oder Hardwaresystemen handelt es sich nicht um eine Auftragsverarbeitung nach Art. 28 DSGVO. Diese Hilfstätigkeit bzw. technische Unterstützung betrifft im Kern nicht die Verarbeitung der personenbezogenen Daten. Vielmehr ist eine Verarbeitung von personenbezogenen Daten von den Parteien gar nicht gewollt. Daher kann auch nicht von einer Datenverarbeitung nach Weisungen gesprochen werden. Dem Recht auf informationelle Selbstbestimmung der betroffenen Personen wird genüge getan, wenn mit den Wartungs- und Prüfungsdienstleistern ordentliche Dienstleistungsverträge abgeschlossen werden. Im Dienstleistungsvertrag muss insbesondere die Art und der Umfang von Wartungsarbeiten geregelt werden, einschließlich der jeweiligen Auslöser von Wartungsaktivitäten, der Informationswege zur Bestellung, der Durchführung und Abrechnung der Wartung sowie der Protokollierung der Wartungsaktivitäten. Wichtig ist zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Hält sich der Dienstleister nicht an die vertraglichen Vorgaben, haftet er für seine unrechtmäßige Handlung wie ein Verantwortlicher.

Wie ist Ihre Meinung?

Ihre Meinung bzw. Rechtsauffassung ist gefragt! Was meinen Sie, sollten die Dienstleister im Bereich der Wartung und Pflege von Soft- und Hardware unter Art. 28 DSGVO fallen? Wir freuen uns auf Ihren Kommentar.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Haben Sie schon Anhaltspunkte wie die Aufsichtsbehörden dies sehen? Vielen Dank!

    • Die Aufsichtsbehörde in Bayern äußert sich zu diesem Thema wie folgt (https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf):

      Weil die DSGVO einschließlich der Erwägungsgründe keine § 11 Abs. 5 BDSG vergleichbare Regelung enthält, wird zu diskutieren sein, wie im Falle einer allgemeinen Möglichkeit des Zugriffs auf personenbezogene Daten durch Dienstleister umgegangen werden muss. Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und einer Anwendung von Art. 28 DSGVO führen. Ist Auftragsgegenstand der (Fern)Wartung allerdings gerade der Umgang mit Datensätzen mit personenbezogenen Daten, so handelt es sich weiter um eine Auftragsverarbeitung nach Art. 28 DSGVO.

  • Frau Rammos Ansicht überzeugt! Wartungsarbeiten sollten keine Auftragsverarbeitung darstellen. Würde die 1. Auffassung konsequent angewendet, müsste z.B. auch bei Tätigkeiten des Fensterputzers oder des Blumenpflegers eine Auftragsverarbeitung angenommen werden. Auche solche Dienstleister erhalten „in der Regel die Möglichkeit, auf personenbezogenen Daten zuzugreifen“. Diesen aber sämtliche Pflichten eines Auftragsverarbeiters aufzuerlegen, dürfte auch von der DSGVO nicht gewollt sein.

  • Ganz unabhängig davon, welche gesetzlichen Regelungen greifen, fragt sich doch zunächst, welche Maßnahmen zum Datenschutz bei einer Wartung von Datenverarbeitungsanlagen in praktischer Hinsicht erforderlich sind. Anschließend ist zu überlegen, ob es notwendig bzw. sinnvoll ist, diese Maßnahmen schriftlich zu vereinbaren. Erst ganz zuletzt kommt es m. E. darauf an, unter welche Gesetzesvorschrift eine solche Vereinbarung zu subsumieren wäre.

    Im Unterschied zu Fensterputzer- oder Blumenpflegearbeiten ist Gegenstand der Wartungsarbeiten allerdings eine Datenverarbeitungsanlage, also nicht nur Fenster oder Blumen. Daraus ergeben sich notwendigerweise doch ganz andere Möglichkeiten eines Zugangs zu personenbezogenen Daten, weswegen ein solcher Vergleich hinkt.

    Es kommt dann ferner darauf an, ob ein Zugriff auf personenbezogene Daten technisch ausgeschlossen ist oder eine solche Möglichkeit tatsächlich besteht. Weil allein die Gelegenheit „Diebe“ macht, sollte diese Möglichkeit dann Anlass zu Schutzmaßnahmen sein, wobei es auch sinnvoll erscheint, diese schriftlich zu fixieren.

    Bei einem Wartungsvertrag handelt es sich um ein Auftrags- bzw. Dienstleistungsverhältnis. Die Vorschrift des § 11 V BDSG zielt auf die wartungsspezifische Ausgestaltung dieses Dienstverhältnisses ab, wobei die Anforderungen mit einer sonstigen Auftragsdatenverarbeitung vergleichbar sind, aber Besonderheiten, wie z. B. die verwendeten Wartungsprogramme und die Art und der Umfang der Wartung geregelt werden müssen (siehe Kommentar von Simits, BDSG 7.Aufl., § 11 RZ 102;).

    Auch die obige Stellungnahme geht vergleichbar davon aus, dass im Dienstleistungsvertrag die Art und der Umfang von Wartungsarbeiten,…. die Protokollierung der Wartungsaktivitäten etc. geregelt werden müssen. Wichtig sei zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Das sind doch auch die Elemente einer Auftragsdatenverarbeitung.

    Warum man bei der Wartung von Datenverarbeitungsanlagen keine Art 28 entsprechende schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen sollte, erschließt sich mir letztlich nicht. Oder gibt es noch andere bedeutende Konsequenzen?

  • Auch hier wird wieder ein ganz wesentlicher Punkt der Wartung und Pflege übersehen! Ganz regelmäßig werden im Rahmen der Aufgaben Daten der Nutzer verarbeitet. Es werden Kennungen angelegt, Rechte vergeben und geändert, es werden Benutzer ge- und entsperrt. Ebenso gehört zu einer vernünftigen Wartung auch die Auswertung von Systemereignissen und ggf. die Eskalation von kritischen Events. All diese Vorgänge stellen sehrwohl einen gezielten Umgang mit personenbezogenen Daten dar. Es ist Zweck der Beauftragung, mit diesen Daten umzugehen.
    Es kommt nicht allein darauf an, dass der Dienstleister regelmäßig kein Interesse an den Daten hat, die im (file-)System oder einer Datenbank abgelegt sind.
    Nur wenn keinerlei Benutzerverwaltung oder Monitoring in der Dienstleistung enthalten sind, ist die im Artikel vertretene Auffassung haltbar!

    Im Ergebnis wird es aber unabhängig davon auf eine ähnlich strenge Vereinbarung wie bei einer Auftragsverarbeitung hinauslaufen müssen. Weisungsabhängig hin oder her – die Erfüllung eigene Rechenschaftspflicht wird immer die strenge Einbindung von Dienstleistern erfordern.

  • Also: Erstens finde ich es schön, daß dieses Forum besteht und sich mit diesen Fragen befasst. Die Frage ist ja auch, schließt man heute noch einen Vertrag zur Auftragsdatenverarbeitung ab oder nicht, der über den Mai 2018 Geltung erlangt und bejahend, welchen Inhalt sollte dieser haben.
    Ich habe einen Blog zu dem Thema geschrieben. Man wird zu unterscheiden haben: Nach der Fassung des § 11 Abs.5 BDSG reicht die Möglichkeit der Kenntnisnahme, die im Rahmen von Wartungsarbeiten eröffnet wird, aus um den Anwendungsbereich von § 11 II BDSG zu eröffnen. Das ist so pauschal unter der DSGVO vermutlich nicht mehr der Fall. Tatbestand: Ich habe meine Software auf einem Server installiert, die Software verarbeitet personenbezogene Daten und ich kann kraft faktischer Möglichkeit auch auf andere Systeme zugreifen, in denen personenbezogene Daten verarbeitet werden. Das ist alleim Anschein nach kein Anwendungsfall der DSGVO mehr. Ähnliche Tatbestände lassen sich beim Hosting ausmachen. Anders zu beurteilen sind Fallgestaltungen bei denen Anbieter von Software, die im Rahmen von Wartungsarbeiten tatsächlich zugreifen (Screenshots etc.) nicht nur die Möglichkeit des Zugriffs haben, sondern tatsächlich zugreifen. Aber: Die DSGVO ist regelungstechnisch ein Missgriff ersten Ranges, weil sie x-fach auslegungsbedürftige Begriffe und Themen aufwirft, deren Beantwortung erst nach und nach durch die Behörden stattfinden müsste. Es wird vermutlich lange dauern, bis Rechtssicherheit besteht. lg

  • Herzlichen Dank für diese praxisnahe und den Tatsachen entsprechende Stellungnahme. 25 Jahre Berufserfahrung und logisches Denkvermögen samt Kenntnisse der IT-Verarbeitung als Auditor und DSB geben Ihnen zu 100% Recht. Oftmals wird das Abschließen der ADV nicht als Herausforderung gesehen – es ist die Darlegung der TOMs die zum Teil mit Checklisten abgefragt werden und nie den tatsächlichen hohen Stand aufgrund der Komplexität der IT widergeben kann und wird. Das ist der eigentliche Schmerzpunkt der damit einhergeht bei der Auftragsanbahnung und die unbegründete Zusicherung einer umfänglichen Verantwortung, die mit Art. 28 einhergehen. In Bildern gesprochen wäre eine LKW-Werkstatt ansonsten auch ein Auftragsverarbeiter, wenn er einen LKW repariert und wartet, weil dieser verschlossene Container mit Personalakten geladen hätte?

  • Ich bin mit Lissner der Auffassung, dass keine Auftragsverarbeitung nach Art. 28 EU-DSGVO vorliegt, soweit eben nicht die Verarbeitung von personenbezogenen Daten im Vordergrund steht. Etwas anderes könnte dann gelten, wenn z. B. im Rahmen der Wartung Datensätze im- oder exportiert würden. Mich bewegt zur Zeit die Frage, ob es sich bei E-Mail-Hosting durch den Provider um Auftragsverarbeitung handelt. Ich tendiere zur Anwendung von Art. 28 EU-DSGVO.

    Wie sehen Sie das?

    • Grundsätzlich dürfte es sich in diesem Fall um eine Auftragsverarbeitung handeln, was letztendlich jedoch von der konkreten Ausgestaltung des Hostings abhängt. Zum Website-Hosting nach alter Rechtslage hat das Bayrische Landesamt für Datenschutzaufsicht in seinem 7. Tätigkeitsbericht ausgeführt, dass mit Internet-Service-Providern regelmäßig ein Vertrag nach § 11 Abs. 2 BDSG abzuschließen ist. Zur Auftragsverarbeitung nach den Bestimmungen der DSGVO hat die Datenschutzkonferenz in einem Kurzpapier bereits eine erste Orientierung geboten. In dem Kurzpapier finden sich auch ein paar allgemeine Hinweise zur Erforderlichkeit einer Vereinbarung zur Auftragsverarbeitung bei Wartung und Fernzugriff.
      https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

  • Ich werde im Rahmen der Wartung permanent mit ADVs konfrontiert. Wir verkaufen und warten IT-Sicherheitsprodukte, Verschlüsselungsprodukte etc. Es handelt sich dabei eben nicht um die Wartung „automatisierter Verfahren oder Datenverarbeitungsanlagen“ i.S.d. §11 Abs. 5 BDSG, sondern um Firewalls, Kryptomodule, Verschlüsselungstechniken, weshalb ich den Abschluss solcher Vereinbarungen ablehne, selbst wenn wir bei der Wartung die Möglichkeit des Zugriffs hätten. Meist wird auf diese Voraussetzung des § 11 Abs. 5 BDSG gar nicht eingegangen, sondern an alle Unternehmen der Lieferantendatenbank diese Vereinbarung geschickt, um sich bestenfalls der eigenen Verantwortung zu entziehen oder sich einfach besser zu fühlen. Gibt es denn keine Kommentierung zu diesen Voraussetzungen „automatisierter Verfahren oder Datenverarbeitungsanlagen“?

  • Zu gerne schliesse ich mich Ihrer Stellungnahme an, da wir entsprechend betroffen sind, obwohl wir den Zugriff nur theoretisch haben, dennoch interprtieren die Aufsichtsbehörden anders:
    „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“
    Dies trifft leider auf > 90% aller Syteme zu (z.B. Logins mit Email-Adresse im Profil).
    https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

  • Unser Handelsunternehmen ist Auftraggeber von IT-Dienstleistern, die u.a. Fernwartung machen. Daher beschäftigt mich dieses Thema ebenfalls. Die Auftragsdatenverarbeitung nach Art. 28 DSGVO geht davon aus, dass (u.a. personenbezogene) Daten auf Weisung des Auftraggebers verarbeitet werden. Die Weisung des Auftraggebers ist aber z.B. im Fall der Fernwartung nicht die Verarbeitung der Daten selbst, sondern diese sind lediglich unverzichtbares (für Problemanalyse, Test etc.) Mittel zum technischen Zweck. Dennoch sehe ich das so, dass wir Stand heute davon auszugehen haben, dass nach dem Text des Ar. 28 eine Auftragsdatenverarbeitung vorliegt. Dies ist ja auch im Kurzpapier 13 der DSK (s. Beitrag vom 14.Juni 2018) so beschrieben.

    In seiner Pressemitteilung zum 13. Europäischen Datenschutztag schreibt der Bundesbeauftragte Ulrich Kelber „Auf der anderen Seite müssen wir die Kritik an einer wenig zielgerichteten Bürokratisierung ernst nehmen und genau hinschauen, an welchen Stellen die DSGVO entschlackt werden kann, ohne dabei den Datenschutz zu schwächen“

    Vielleicht wäre das ein geeigneter Ansprechpartner für einen Interessenverband der IT-Dienstleister, mal mit einem konkreten Vorschlag für diesen Fall zu kommen. Das ist ein dickes Brett, das man da bohren muss und es geht sicher nicht von heute auf morgen. Aber der beste Weg, etwas zu verbessern ist bekanntlich der, damit anzufangen.

    Von Art. 28 DSGVO wird ja u.a. auf Art. 40 verwiesen, der ausdrücklich die Möglichkeit für Vereinigungen von Auftragsverarbeitern vorsieht, bestimmte Verhaltensregeln für die ordnungsgemäße Anwendung der DSGVO festzulegen. In Art 40 ist auch ein Weg beschrieben, entsprechende Entwürfe mit den Aufsichtsbehörden abzustimmen. Das könnte ein geeigneter Weg sein, mittelfristig eine Ergänzung bzw. Alternative zu Art. 28 zu erreichen, die das Thema IT-Support etwas einfacher macht als die „echte“ Auftragsdatenverarbeitung.

    Aber wie gesagt. Da müsste halt jemand mal einen ersten Schritt machen.

  • Die Frage wäre auch noch „Was sind Wartungsarbeiten?“

    Auf anderen Internetseiten wird erwähnt, dass selbst das Anlegen eines Benutzers im Active Directory einer Windows Domäne eine Verarbeitung persönlicher Daten und somit eine Auftragsverarbeitung darstellt. Wenn man als IT-Dienstleister das EDV-System eines Kunden, ob vor Ort oder per Ferne wartet, kommt man eigentlich immer zumindest mit den Daten der Mitarbeiter des Kunden wie Name, E-Mail und Telefon in Berührung.
    Im Allgemeinen verbleiben diese Informationen allerdings auf den Servern des Kunden und werden nicht in meinen System gespeichert, was mich zum nächsten Punkt bringt:

    Als selbständigen IT-Dienstleister ohne weitere Angestellte und Betriebsräume stört mich am meisten der Zusatz unter Art.28 Absatz 3 h)

    „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

    Hiermit wird dem Auftraggeber die Möglichkeit gegeben selber oder durch einen Prüfer im Rahmen einer Inspektion „was genau“ zu inspizieren?

    Ich nehme an es bezieht sich auf die Umsetzung von TOMs. Unter anderem also um den kontrollierten Zugang zu den Daten und dessen Schutz in meinem eigenen EDV System. Das käme in meinem Fall einer Hausdurchsuchung gleich, da ich keine Betriebsräume habe und meine gewerbliche Tätigkeit aus meinem Privathaus betreibe. Erschwerend käme noch dazu das ich in meinen EDV Systemen neben den Verwaltungsdaten zu diesem Kunden natürlich auch noch die Verwaltungsdaten anderer Kunden sowie meine eigenen Daten vorhalte. Schon aus Gründen des Datenschutzes müsste ich also eine Einsicht in diese Systeme verweigern.

    Es ist eine Schande das die Gesetzgebung nicht Willens oder in der Lage war entsprechende Punkte genauer zu definieren. Ich denke, ohne einen ausdrücklichen Auftrag zur Verarbeitung von Daten wäre die Administration und Wartung von EDV Systemen durchaus mit einer einfachen Verschwiegenheitserklärung ausgekommen. Insbesondere im Umfeld von Kleinstunternehmen.

    • „Was sind Wartungsarbeiten?“ ist eine spannende Frage. In unserem Fall geht es nämlich tatsächlich um den Support (per Fernwartung) von Softwareprodukten für Architekten und Ingenieure. Die Produkte werden von uns vertrieben und supportet. Die bloße Tatsache, dass ich im Rahmen der Fernwartung den Schriftkopf einer Plandatei z.B. mit Auftraggeberdaten sehe (sehen ist hier wörtlich zu nehmen, denn durch die Fernwartung ist es nichts anderes als eine Inaugenscheinnahme) findet keine Verarbeitung im eigentlichen Sinne statt. Das im Rahmen dieser Tätigkeit auch Kenntnis des fernen Benutzers genommen wird, einschl. Benutzernamen, ggf. Mailadresse und Telefonnummern stellt ebenfalls keinen Grund für einen Bezug Art. 28 DSGVO her, da diese Daten im Rahmen unseres Vertriebs und unserer Datenschutzerklärung ohnehin von uns nach den Regeln der DSGVO gespeichert werden.

  • Gibt es zu diesem Thema mittlerweile eine allgemein anerkannte Stellungnahme?

    • Die Aufsichtsbehörde in Niedersachen hat sich in dem FAQ zu Auftragsverarbeitung dazu geäußert (Ziffer 7):

      „Bedarf es für IT-Wartungsdienstleistungen eines Vertrags zur Auftragsverarbeitung?
      Ja. Es liegt eine Auftragsverarbeitung vor. Nach der einheitlich abgestimmten Auffassung der Datenschutz-Aufsichtsbehörden des Bundes und der Länder ist dies der Fall, sofern nicht rein technische Wartungen der Infrastruktur vorgenommen werden. Denn im Rahmen der beauftragten Tätigkeit besteht für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten. Auch liegt nicht die in der Antwort zu Frage 4 dargestellte Konstellation vor. Aufgrund der im Rahmen der Fernwartung bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.

      Das auf meiner Webseite verfügbare Kurzpapier Nummer 13 der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) gibt die einheitliche Position der deutschen Aufsichtsbehörden zur Auftragsverarbeitung nach Art. 28 DS-GVO wieder und stellt unter dem Punkt „Wartung und Fernzugriffe“ die zu beachtenden Punkte zusammen. Dieses Papier findet sich unter:

      https://t1p.de/kurzpapiere-dsk

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.