Einige werden zustimmend nicken und andere ablehnend den Kopf schütteln. Das ist uns klar und dennoch sind wir der Meinung, dass die Wartung und Prüfung von IT-Systemen weiterhin eine Auftragsverarbeitung darstellt bzw. entsprechend zu behandeln ist.
Alte und neue gesetzliche Regelung
Bisher war die Auftragsverarbeitung in § 11 Bundesdatenschutzgesetz (BDSG) geregelt. Ab dem 25. Mai 2018 wird sie in Artikel 28 Datenschutzgrundverordnung (DSGVO) geregelt. § 11 Abs. 5 BDSG stellte bislang eindeutig fest, dass eine Auftragsverarbeitung auch in Fällen von (Fern-) Wartung vorliegt:
„Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“
Es ist richtig, dass diese Klarstellung des alten § 11 Abs. 5 BDSG im Hinblick auf das Vorliegen einer Auftragsverarbeitung in Fällen von reinen Zugriffsmöglichkeiten im Zuge von Prüfungs- oder (Fern-) Wartungsaufgaben in der DSGVO nicht ausdrücklich genannt wird.
Die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat sich allerdings deutlich in ihrem Kurzpapier Nr. 13 zur Auftragsverarbeitung nach Art. 28 DSGVO geäußert:
„Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“
Die Ansicht der Aufsichtsbehörden ist damit klar. Die Notwendigkeit des Abschlusses der Verträge somit auch.
Ganz ähnlich sehen das der Berufsverband der Datenschutzbeauftragten Deutschlands e. V. und die Gesellschaft für Datenschutz und Datensicherheit e. V. in einem Papier zum „Umgang mit Altverträgen bzgl. Auftragsverarbeitung“. Darin heißt es:
„Dem Wartungsunternehmen werden die personenbezogenen Daten nicht zur eigenen Verarbeitung überlassen, desgleichen erhält das Wartungsunternehmen die Daten nicht zur auftragsgemäßen Verarbeitung im eigentlichen Sinne. Gleichwohl bleibt der aus der DS-GVO resultierende Schutzbedarf natürlich unverändert bestehen, sodass der Verantwortliche zwangsläufig für jegliche Wartung, in deren Rahmen ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, einen Auftragsverarbeitungsvertrag entsprechend Art. 28 Abs. 3 DS-GVO mit dem die Wartung durchführenden externen Dienstleister abschließen muss.“
Auch die Kommentierung zur DSGVO nimmt mehrheitlich zumindest eine analoge Anwendbarkeit der Regelungen zur Auftragsverarbeitung an. Es wird insbesondere davon ausgegangen, dass andernfalls die Kenntnisnahme im Rahmen von Wartung und Pflege eine unbefugte Offenlegung darstellen würde (vgl. auch Kühling/Buchner, Datenschutz-Grundverordnung, 1. Auflage 2017, Art. 28 Rn 54 und Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage 2017, Art. 28 Rn. 7).
Und auch der kirchliche Datenschutz stellt die Frage der Einordnung von Wartungstätigkeiten klar, so in § 29 Abs. 12 des ab dem 24.05.2018 gültigen KDG und § 30 Abs. 6 des ab dem 24.05.2018 gültigen DSG-EKD:
„Die Absätze … gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“
Unterschiedliche Auffassungen
Gänzlich anders wird die Lage durch den Branchenverband der deutschen Informations- und Telekommunikationsbranche, Bitkom eingeschätzt.
„Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt. Es kann zwar nicht ausgeschlossen werden, dass durch die Systemprüfung auch personenbezogene Daten durch den IT-Dienstleister zur Kenntnis genommen werden, nach DS-GVO müssen aber deswegen keine den ADV-Vorgaben entsprechende Regelungen wie nach § 11 Abs. 5 BDSG geschlossen werden. Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 festgelegten Pflichten des Verantwortlichen angemessen geschützt sind. Vorsorglich sollte in solchen Konstellationen ggf. eine Verschwiegenheitsverpflichtung vereinbart werden … Im Rahmen der Dienstleistungserbringung muss darauf geachtet werden, dass der Rahmen der Tätigkeiten Wartung oder Prüfung nicht verlassen wird.“ (siehe hier auf Seite 22)
Empfehlung
Um sich abzusichern sollten Unternehmen daher auch bei (Fern-) Wartungen auf den Abschluss eines Vertrags zur Auftragsverarbeitung bestehen. Denn sie sind es, die ggf. auferlegte Bußgelder der Aufsichtsbehörden begleichen müssen.