Ob Server oder Laptop, Büro oder Home-Office – laufender Support auch aus der Ferne ist für die Gewährleistung eines sicheren IT-Betriebs und Datensicherheit unverzichtbar.
Zahlreiche Verantwortliche betrachten dabei nur die technischen Aspekte und übersehen, dass externe IT-Wartung sehr häufig datenschutzrechtliche Relevanz besitzt: Nach Art. 24 und 32 Datenschutzgrundverordnung (DSGVO) sowie Art. 32 Abs.2 Nr. 4 e) Bayerisches Datenschutzgesetz (BayDSG) müssen Verantwortliche die Verfügbarkeit und Zuverlässigkeit von Systemen zur Verarbeitung personenbezogener Daten sicherstellen. Wartungsverträge können somit auch ein Baustein sein, die Haftungsrisiken auch aus datenschutzrechtlicher Sicht zu wahren.
Zunehmende Übertragung an externe Dienstleister
Kostenaspekte und nicht zuletzt der Fachkräftemangel haben dazu geführt, dass eine immer größer werdende Zahl von Organisationen die Wartung von IT-Systemen teilweise oder vollständig an externe Dienstleister „outsourcen“. Dazu werden regelmäßig Wartungsverträge mit Herstellern oder Systemhäusern abgeschlossen. In sog. Service-Level-Agreements (SLA) werden Leistungsumfänge, Reaktionszeiten, Kosten etc. genau festgelegt. Viele Dienstleister kümmern sich nur um Teilbereiche der IT, wie z.B. Netzwerktechnik oder Fachanwendungen, in anderen Fällen ist auch der gesamte IT-Betrieb ausgelagert.
Risiko Auftragsdatenverarbeitung
Die Wartung von Datenverarbeitungsanlagen und Verfahren durch externe Dienstleister ist grundsätzlich dann als Auftragsverarbeitung anzusehen, wenn die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Dienstleister bzw. deren Mitarbeiterinnen und Mitarbeiter, die die beauftragten Arbeiten vor Ort oder mittels Fernwartung durchführen, besitzen häufig Zugriffsmöglichkeiten auf Daten mit Personenbezug bzw. es kann diese Möglichkeit nicht ausgeschlossen werden. In diesen Fällen sind daher die in Art. 28 DSGVO vorgegebenen Anforderungen – wie etwa der Abschluss einer Vereinbarung – zu beachten. Diese bietet den Vorteil, dass es innerhalb des Verarbeitungsverhältnisses für eine Weitergabe von Daten keines Erlaubnistatbestands bedarf. Vielmehr wird der Auftragsverarbeiter datenschutzrechtlich nicht als Dritter, sondern als der „verlängerte Arm“ und quasi interne Stelle des Verantwortlichen ohne eigenen Wertungs- und Entscheidungsspielraum betrachtet. Der datenschutzrechtliche Erlaubnistatbestand, auf den sich der Verantwortliche beruft, gilt ebenso für den Auftragsverarbeiter.
Der Auftragsverarbeiter ist für die Einhaltung der technisch-organisatorischen Maßnahmen (mit-)verantwortlich und muss hinreichend Garantien dafür vorsehen, dass die von ihm getroffenen technischen und organisatorischen Maßnahmen einen wirksamen Schutz der Daten bieten. Dies setzt genügend Fachwissen, Zuverlässigkeit und Ressourcen auf seiner Seite voraus.
Wann liegt keine Auftragsverarbeitung vor?
Lediglich bei der rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an der Stromzufuhr, Kühlung oder Heizung), aber auch bei Hilfstätigkeiten wie der Reinigung von Räumen mit Datenverarbeitungsanlagen, ist nicht von einer Auftragsverarbeitung auszugehen.. Dies ist auch dann der Fall, wenn eine wirksame Verschlüsselung oder eine (vorherige) Anonymisierung personenbezogener Daten vorliegt. Hier hat der Verantwortliche durch technische und organisatorische Maßnahmen vielmehr dafür Sorge zu tragen, dass ein Dienstleister keinen Zugriff auf personenbezogene Daten erhält. Es ist aber zu bedenken, dass sich IT-Systeme permanent verändern und es im Betriebsverlauf doch zu Zugriffsmöglichkeiten auf personenbezogene Daten kommen kann. In Zweifelsfällen ist daher von einer Auftragsverarbeitung auszugehen.
Verschwiegenheitserklärung beim Amts- und Dienstgeheimnissen einfordern
Ein ebenfalls kritisches Thema ist eine mögliche Schweigepflicht: Wenn externe Dienstleister Zugriff auf personenbezogene Daten haben, muss die verantwortliche Stelle sicherstellen, dass alle Beteiligten die Vertraulichkeit im Umgang mit diesen Daten gewährleisten. Dies gilt auch für Dienst- und Amtsgeheimnisse. Eine entsprechende Verpflichtung auf Vertraulichkeit bzw. Verschwiegenheit der Auftragnehmer sowie deren Angestellten bzw. Subunternehmern ist dringend anzuraten. Wie bei allen Datenschutz-Prozessen, sollte dieser Vorgang dokumentiert erfolgen.
Fazit
In der Praxis mag es bisweilen mühsam sein, Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen ist. Sofern im Rahmen einer externen IT-Wartung jedoch ein Zugriff auf personenbezogene Daten nicht auszuschließen ist, muss ein entsprechender Vertrag unter Berücksichtigung der datenschutzrechtlichen Vorgaben von Art. 28 DSGVO abgeschlossen werden.
Im Dienstleistungsvertrag sollte insbesondere die Art und der Umfang von Wartungsarbeiten geregelt werden, einschließlich der jeweiligen Auslöser von Wartungsaktivitäten, der Informationswege zur Bestellung, der Durchführung und Abrechnung der Wartung sowie der Protokollierung der Wartungsaktivitäten.
Wichtig ist zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Hält sich der Dienstleister nicht an die vertraglichen Vorgaben, haftet er für seine unrechtmäßige Handlung wie ein Verantwortlicher.
Bei der Prüfung bestehender und dem Abschluss künftiger Wartungs- und Auftragsverarbeitungsverträge beraten wir Sie im Hinblick auf die Wahrung Ihrer Vertraulichkeitsanforderungen gerne.
