Wartungsarbeiten – Ist das eine Auftragsverarbeitung nach der DSGVO?

Fachbeitrag

Das (unbeliebte) Thema Auftragsdatenverarbeitung ist aus dem Alltag eines Datenschutzbeauftragten nicht wegzudenken. Häufig ist es sehr mühsam, die Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung i.S.d. § 11 BDSG abzuschließen ist. Insbesondere Dienstleister, die lediglich Wartungsarbeiten an einem Tool durchführen und dabei den Zugriff auf personenbezogenen Daten des Auftraggebers gar nicht benötigen, stellen sich quer. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

(Noch) Aktuelle Rechtslage

Gemäß § 11 BDSG hat der Auftraggeber mit dem Auftragnehmer, der in seinem Auftrag personenbezogenen Daten erhebt, verarbeitet oder nutzt, eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen (kurz ADV). Nach § 11 Abs. 5 BDSG gilt dies auch für die Fälle, in denen der Dienstleister lediglich mit der Prüfung oder Wartung automatisierter Verfahren (diverse Tools) oder von Datenverarbeitungsanlagen (z.B. Server) beauftragt wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Das heißt, dass nach dem BDSG mit dem Anbieter einer Software auch dann eine ADV abzuschließen ist, wenn dieser nur gelegentlich per Fernwartung oder dann vor Ort technische Fehler der Software behebt. In der Regel hat der Dienstleister überhaupt kein Interesse auf die personenbezogenen Daten zuzugreifen, da er diese für die Behebung der Fehler gar nicht braucht. Um eine Auftragsdatenverarbeitung wird er trotzdem nicht herumkommen.

Am 25. Mai 2018 wird das BDSG durch die Datenschutz-Grundverordnung (DSGVO) abgelöst.

Wartungsarbeiten auch nach der DSGVO eine Auftragsverarbeitung?

Diese Frage ist schon jetzt bei den Juristen umstritten. Einigkeit besteht lediglich darin, dass die DSGVO im Gegensatz zu BDSG keine Sonderregelung für die Wartung oder Prüfung von automatischen Verfahren enthält.

1. Auffassung: Es liegt eine Auftragsverarbeitung vor, Art. 28 DSGVO findet direkte Anwendung

Schmidt/Freund in ZD 2017, 14 (16) sind der Ansicht, dass es bei der Systemverwaltung unproblematisch um eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt:

„Die Regelungen des Art. 28 DSGVO sind direkt auf die Systemwartung anzuwenden. Bei der Systemwartung erhält der Dienstleister in der Regel die Möglichkeit, auf personenbezogenen Daten zuzugreifen. Es handelt sich dabei um eine Verarbeitung i.S.d. Art. 4 Nr. 4 DSGVO. Ob Systemverwaltung dabei eine Offenlegung „durch Übermittlung“, „Verarbeitung“ oder „eine andere Form der Bereitstellung“ ist, kann als akademische Frage offen bleiben.

All dies sind nach Art. 4 Nr. 2 DSGVO aber nur Beispiele für die eigentliche Definition der Verarbeitung als „Vorgang … im Zusammengang mit personenbezogenen Daten“. Diese Definition erfüllt die Wartung eines IT-Systems in jedem Fall. Die Verarbeitung der personenbezogenen Daten erfolgt auch im Auftrag des Verantwortlichen. Auch nach dem gesetzlichen Schutzzweck kann ein solcher Vorgang nicht dem Anwendungsbereich der DSGVO entzogen werden, sofern er mit einer Zugriffsmöglichkeit auf die personenbezogenen Daten und damit mit einer Gefahr für das informationelle Selbstbestimmungsrecht der Betroffenen verbunden ist.

Diese Verarbeitung erfolgt auch im Auftrag des Verantwortlichen. Es handelt sich damit um einen Fall der Auftragsverarbeitung gem. Art. 28 Abs. 1 DSGVO, die unter den Voraussetzungen des Art. 28 DSGVO zulässig ist.“

Müthlein in RDV 2016, 74 (83) ist der Auffassung, dass die Regelungen über die Auftragsverarbeitung in Art. 28 DSGVO analog anzuwenden sind.

2. Auffassung: Es liegt eine Auftragsverarbeitung vor, Art. 28 DSGVO findet analoge Anwendung

Müthlein in RDV 2016, 74 (83) ist der Auffassung, dass die Regelungen über die Auftragsverarbeitung in Art. 28 DSGVO analog anzuwenden sind, da DSGVO eine der § 11 Abs. 5 BDSG vergleichbare Regelung nicht enthält.

3. Auffassung: Keine Auftragsverarbeitung nach Art. 28 DSGVO

Lissner im Tagungsband der Herbstakademie der DSRI 2016, 401 (414) stellt es auf den Willensmoment des Dienstleisters an:

„Die DSGVO enthält im Vergleich zum BDSG einen deutlich weiter gefassten Begriff der Datenverarbeitung. Mit Art. 4 Nr. 2 DSGVO bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen zielt nicht auf eine „Datenverarbeitung“ ab – die Möglichkeit, Daten zur Kenntnis zu nehmen, ist vielmehr nur ein – nicht auszuschließendes – „Beiwerk“. Trotz der deutlich weiter gefassten Definition des Verarbeitungsbegriffs der DSGVO dürfte es schwer fallen, derartige Konstellationen unter den Begriff der „Verarbeitung“ zu subsumieren. Die bloße Möglichkeit der Kenntnisnahme könnte allenfalls als „Offenlegung durch Verbreitung oder eine andere Form der Bereitstellung“ oder als „Auslesen“ eingestuft werden. Diese Begriffe setzten jedoch rein vom Wortlaut her allesamt ein Willensmoment auf Seitens des Verarbeiters voraus – dies liegt im Falle eines Vertrags zur Prüfung oder Wartung automatisierter Verfahren und Datenverarbeitungsanlagen jedoch gerade nicht vor, da ein solcher Zugriff nicht beabsichtigt ist. Die besseren Gründe sprechen daher wohl dafür, derartige Konstellationen zukünftig nicht mehr unter die Vorgaben der Auftragsverarbeitung zu fassen. Ein Schutzdefizit auf Seiten der Betroffenen sollte damit nicht verbunden sein, da ein Dienstleister, der sich unbefugt Zugriff auf personenbezogene Daten verschafft, als „verantwortliche Stelle“ einzustufen sein dürfte.“

4. Auffassung: Es liegt eine Übermittlung vor, sodass eine Rechtsgrundlage erforderlich ist

Es könnte auch überlegt werden, ob die Wartung oder Prüfung von Soft- oder Hardwaresystemen künftig als datenschutzrechtlich rechtfertigungsbedürftiger Vorgang anzusehen ist. Als Folge bräuchte man für die Tätigkeit der Dienstleister eine Rechtsgrundlage, da dieser selbst zum Verantwortlichen in Sinne der DSGVO wird. Als Rechtsgrundlage für die Wartung oder Prüfung von Soft- oder Hardwaresystemen könnte Art. 6 Abs. 1 f) DSGVO in Betracht kommen. Danach ist die Verarbeitung von personenbezogenen Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.

Stellungnahme

Bei der Wartung und Prüfung von Soft- oder Hardwaresystemen handelt es sich um keine Auftragsverarbeitung nach Art. 28 DSGVO. Diese Hilfstätigkeit bzw. technische Unterstützung betrifft im Kern nicht die Verarbeitung der personenbezogenen Daten. Vielmehr ist eine Verarbeitung von personenbezogenen Daten von den Parteien gar nicht gewollt. Daher kann auch nicht von einer Datenverarbeitung nach Weisungen gesprochen werden. Dem Recht auf informationelle Selbstbestimmung der betroffenen Personen wird genüge getan, wenn mit den Wartungs- und Prüfungsdienstleistern ordentliche Dienstleistungsverträge abgeschlossen werden. Im Dienstleistungsvertrag muss insbesondere die Art und der Umfang von Wartungsarbeiten geregelt werden, einschließlich der jeweiligen Auslöser von Wartungsaktivitäten, der Informationswege zur Bestellung, der Durchführung und Abrechnung der Wartung sowie der Protokollierung der Wartungsaktivitäten. Wichtig ist zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Hält sich der Dienstleister nicht an die vertraglichen Vorgaben, haftet er für seine unrechtmäßige Handlung wie ein Verantwortlicher.

Wie ist Ihre Meinung?

Ihre Meinung bzw. Rechtsauffassung ist gefragt! Was meinen Sie, sollten die Dienstleister im Bereich der Wartung und Pflege von Soft- und Hardware unter Art. 28 DSGVO fallen? Wir freuen uns auf Ihren Kommentar.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

6 Kommentare zu diesem Beitrag

    • Die Aufsichtsbehörde in Bayern äußert sich zu diesem Thema wie folgt (https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf):

      Weil die DSGVO einschließlich der Erwägungsgründe keine § 11 Abs. 5 BDSG vergleichbare Regelung enthält, wird zu diskutieren sein, wie im Falle einer allgemeinen Möglichkeit des Zugriffs auf personenbezogene Daten durch Dienstleister umgegangen werden muss. Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und einer Anwendung von Art. 28 DSGVO führen. Ist Auftragsgegenstand der (Fern)Wartung allerdings gerade der Umgang mit Datensätzen mit personenbezogenen Daten, so handelt es sich weiter um eine Auftragsverarbeitung nach Art. 28 DSGVO.

  1. Frau Rammos Ansicht überzeugt! Wartungsarbeiten sollten keine Auftragsverarbeitung darstellen. Würde die 1. Auffassung konsequent angewendet, müsste z.B. auch bei Tätigkeiten des Fensterputzers oder des Blumenpflegers eine Auftragsverarbeitung angenommen werden. Auche solche Dienstleister erhalten „in der Regel die Möglichkeit, auf personenbezogenen Daten zuzugreifen“. Diesen aber sämtliche Pflichten eines Auftragsverarbeiters aufzuerlegen, dürfte auch von der DSGVO nicht gewollt sein.

  2. Ganz unabhängig davon, welche gesetzlichen Regelungen greifen, fragt sich doch zunächst, welche Maßnahmen zum Datenschutz bei einer Wartung von Datenverarbeitungsanlagen in praktischer Hinsicht erforderlich sind. Anschließend ist zu überlegen, ob es notwendig bzw. sinnvoll ist, diese Maßnahmen schriftlich zu vereinbaren. Erst ganz zuletzt kommt es m. E. darauf an, unter welche Gesetzesvorschrift eine solche Vereinbarung zu subsumieren wäre.

    Im Unterschied zu Fensterputzer- oder Blumenpflegearbeiten ist Gegenstand der Wartungsarbeiten allerdings eine Datenverarbeitungsanlage, also nicht nur Fenster oder Blumen. Daraus ergeben sich notwendigerweise doch ganz andere Möglichkeiten eines Zugangs zu personenbezogenen Daten, weswegen ein solcher Vergleich hinkt.

    Es kommt dann ferner darauf an, ob ein Zugriff auf personenbezogene Daten technisch ausgeschlossen ist oder eine solche Möglichkeit tatsächlich besteht. Weil allein die Gelegenheit „Diebe“ macht, sollte diese Möglichkeit dann Anlass zu Schutzmaßnahmen sein, wobei es auch sinnvoll erscheint, diese schriftlich zu fixieren.

    Bei einem Wartungsvertrag handelt es sich um ein Auftrags- bzw. Dienstleistungsverhältnis. Die Vorschrift des § 11 V BDSG zielt auf die wartungsspezifische Ausgestaltung dieses Dienstverhältnisses ab, wobei die Anforderungen mit einer sonstigen Auftragsdatenverarbeitung vergleichbar sind, aber Besonderheiten, wie z. B. die verwendeten Wartungsprogramme und die Art und der Umfang der Wartung geregelt werden müssen (siehe Kommentar von Simits, BDSG 7.Aufl., § 11 RZ 102;).

    Auch die obige Stellungnahme geht vergleichbar davon aus, dass im Dienstleistungsvertrag die Art und der Umfang von Wartungsarbeiten,…. die Protokollierung der Wartungsaktivitäten etc. geregelt werden müssen. Wichtig sei zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Das sind doch auch die Elemente einer Auftragsdatenverarbeitung.

    Warum man bei der Wartung von Datenverarbeitungsanlagen keine Art 28 entsprechende schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen sollte, erschließt sich mir letztlich nicht. Oder gibt es noch andere bedeutende Konsequenzen?

  3. Auch hier wird wieder ein ganz wesentlicher Punkt der Wartung und Pflege übersehen! Ganz regelmäßig werden im Rahmen der Aufgaben Daten der Nutzer verarbeitet. Es werden Kennungen angelegt, Rechte vergeben und geändert, es werden Benutzer ge- und entsperrt. Ebenso gehört zu einer vernünftigen Wartung auch die Auswertung von Systemereignissen und ggf. die Eskalation von kritischen Events. All diese Vorgänge stellen sehrwohl einen gezielten Umgang mit personenbezogenen Daten dar. Es ist Zweck der Beauftragung, mit diesen Daten umzugehen.
    Es kommt nicht allein darauf an, dass der Dienstleister regelmäßig kein Interesse an den Daten hat, die im (file-)System oder einer Datenbank abgelegt sind.
    Nur wenn keinerlei Benutzerverwaltung oder Monitoring in der Dienstleistung enthalten sind, ist die im Artikel vertretene Auffassung haltbar!

    Im Ergebnis wird es aber unabhängig davon auf eine ähnlich strenge Vereinbarung wie bei einer Auftragsverarbeitung hinauslaufen müssen. Weisungsabhängig hin oder her – die Erfüllung eigene Rechenschaftspflicht wird immer die strenge Einbindung von Dienstleistern erfordern.

  4. Also: Erstens finde ich es schön, daß dieses Forum besteht und sich mit diesen Fragen befasst. Die Frage ist ja auch, schließt man heute noch einen Vertrag zur Auftragsdatenverarbeitung ab oder nicht, der über den Mai 2018 Geltung erlangt und bejahend, welchen Inhalt sollte dieser haben.
    Ich habe einen Blog zu dem Thema geschrieben. Man wird zu unterscheiden haben: Nach der Fassung des § 11 Abs.5 BDSG reicht die Möglichkeit der Kenntnisnahme, die im Rahmen von Wartungsarbeiten eröffnet wird, aus um den Anwendungsbereich von § 11 II BDSG zu eröffnen. Das ist so pauschal unter der DSGVO vermutlich nicht mehr der Fall. Tatbestand: Ich habe meine Software auf einem Server installiert, die Software verarbeitet personenbezogene Daten und ich kann kraft faktischer Möglichkeit auch auf andere Systeme zugreifen, in denen personenbezogene Daten verarbeitet werden. Das ist alleim Anschein nach kein Anwendungsfall der DSGVO mehr. Ähnliche Tatbestände lassen sich beim Hosting ausmachen. Anders zu beurteilen sind Fallgestaltungen bei denen Anbieter von Software, die im Rahmen von Wartungsarbeiten tatsächlich zugreifen (Screenshots etc.) nicht nur die Möglichkeit des Zugriffs haben, sondern tatsächlich zugreifen. Aber: Die DSGVO ist regelungstechnisch ein Missgriff ersten Ranges, weil sie x-fach auslegungsbedürftige Begriffe und Themen aufwirft, deren Beantwortung erst nach und nach durch die Behörden stattfinden müsste. Es wird vermutlich lange dauern, bis Rechtssicherheit besteht. lg

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.