Ob Server oder Laptop, Büro oder Home-Office – laufender Support auch aus der Ferne ist für die Gewährleistung eines sicheren IT-Betriebs und Datensicherheit unverzichtbar. 

Zahlreiche Verantwortliche betrachten dabei nur die technischen Aspekte und übersehen, dass externe IT-Wartung sehr häufig datenschutzrechtliche Relevanz besitzt: Nach Art. 24 und 32 Datenschutzgrundverordnung (DSGVO) sowie Art. 32 Abs.2 Nr. 4 e) Bayerisches Datenschutzgesetz (BayDSG) müssen Verantwortliche die Verfügbarkeit und Zuverlässigkeit von Systemen zur Verarbeitung personenbezogener Daten sicherstellen. Wartungsverträge können somit auch ein Baustein sein, die Haftungsrisiken auch aus datenschutzrechtlicher Sicht zu wahren.

Zunehmende Übertragung an externe Dienstleister

Kostenaspekte und nicht zuletzt der Fachkräftemangel haben dazu geführt, dass eine immer größer werdende Zahl von Organisationen die Wartung von IT-Systemen teilweise oder vollständig an externe Dienstleister „outsourcen“. Dazu werden regelmäßig Wartungsverträge mit Herstellern oder Systemhäusern abgeschlossen. In sog. Service-Level-Agreements (SLA) werden Leistungsumfänge, Reaktionszeiten, Kosten etc. genau festgelegt. Viele Dienstleister kümmern sich nur um Teilbereiche der IT, wie z.B. Netzwerktechnik oder Fachanwendungen, in anderen Fällen ist auch der gesamte IT-Betrieb ausgelagert.

Risiko Auftragsdatenverarbeitung

Die Wartung von Datenverarbeitungsanlagen und Verfahren durch externe Dienstleister ist grundsätzlich dann als Auftragsverarbeitung anzusehen, wenn die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Dienstleister bzw. deren Mitarbeiterinnen und Mitarbeiter, die die beauftragten Arbeiten vor Ort oder mittels Fernwartung durchführen, besitzen häufig Zugriffsmöglichkeiten auf Daten mit Personenbezug bzw. es kann diese Möglichkeit nicht ausgeschlossen werden. In diesen Fällen sind daher die in Art. 28 DSGVO vorgegebenen Anforderungen – wie etwa der Abschluss einer Vereinbarung – zu beachten. Diese bietet den Vorteil, dass es innerhalb des Verarbeitungsverhältnisses für eine Weitergabe von Daten keines Erlaubnistatbestands bedarf. Vielmehr wird der Auftragsverarbeiter datenschutzrechtlich nicht als Dritter, sondern als der „verlängerte Arm“ und quasi interne Stelle des Verantwortlichen ohne eigenen Wertungs- und Entscheidungsspielraum betrachtet. Der datenschutzrechtliche Erlaubnistatbestand, auf den sich der Verantwortliche beruft, gilt ebenso für den Auftragsverarbeiter.

Der Auftragsverarbeiter ist für die Einhaltung der technisch-organisatorischen Maßnahmen (mit-)verantwortlich und muss hinreichend Garantien dafür vorsehen, dass die von ihm getroffenen technischen und organisatorischen Maßnahmen einen wirksamen Schutz der Daten bieten. Dies setzt genügend Fachwissen, Zuverlässigkeit und Ressourcen auf seiner Seite voraus. 

Wann liegt keine Auftragsverarbeitung vor?

Lediglich bei der rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an der Stromzufuhr, Kühlung oder Heizung), aber auch bei Hilfstätigkeiten wie der Reinigung von Räumen mit Datenverarbeitungsanlagen, ist nicht von einer Auftragsverarbeitung auszugehen.. Dies ist auch dann der Fall, wenn eine wirksame Verschlüsselung oder eine (vorherige) Anonymisierung personenbezogener Daten vorliegt. Hier hat der Verantwortliche durch technische und organisatorische Maßnahmen vielmehr dafür Sorge zu tragen, dass ein Dienstleister keinen Zugriff auf personenbezogene Daten erhält. Es ist aber zu bedenken, dass sich IT-Systeme permanent verändern und es im Betriebsverlauf doch zu Zugriffsmöglichkeiten auf personenbezogene Daten kommen kann. In Zweifelsfällen ist daher von einer Auftragsverarbeitung auszugehen. 

Verschwiegenheitserklärung beim Amts- und Dienstgeheimnissen einfordern

Ein ebenfalls kritisches Thema ist eine mögliche Schweigepflicht: Wenn externe Dienstleister Zugriff auf personenbezogene Daten haben, muss die verantwortliche Stelle sicherstellen, dass alle Beteiligten die Vertraulichkeit im Umgang mit diesen Daten gewährleisten. Dies gilt auch für Dienst- und Amtsgeheimnisse. Eine entsprechende Verpflichtung auf Vertraulichkeit bzw. Verschwiegenheit der Auftragnehmer sowie deren Angestellten bzw. Subunternehmern ist dringend anzuraten. Wie bei allen Datenschutz-Prozessen, sollte dieser Vorgang dokumentiert erfolgen. 

Fazit

In der Praxis mag es bisweilen mühsam sein, Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen ist. Sofern im Rahmen einer externen IT-Wartung jedoch ein Zugriff auf personenbezogene Daten nicht auszuschließen ist, muss ein entsprechender Vertrag unter Berücksichtigung der datenschutzrechtlichen Vorgaben von Art. 28 DSGVO abgeschlossen werden.

Im Dienstleistungsvertrag sollte insbesondere die Art und der Umfang von Wartungsarbeiten geregelt werden, einschließlich der jeweiligen Auslöser von Wartungsaktivitäten, der Informationswege zur Bestellung, der Durchführung und Abrechnung der Wartung sowie der Protokollierung der Wartungsaktivitäten. 

Wichtig ist zudem, dass eine Vertraulichkeitsvereinbarung abgeschlossen wird, die sich auf alle Arten der Daten bezieht. Hält sich der Dienstleister nicht an die vertraglichen Vorgaben, haftet er für seine unrechtmäßige Handlung wie ein Verantwortlicher.

Bei der Prüfung bestehender und dem Abschluss künftiger Wartungs- und Auftragsverarbeitungsverträge beraten wir Sie im Hinblick auf die Wahrung Ihrer Vertraulichkeitsanforderungen gerne. 

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Datenschutz bei Veranstaltungen

    Datenschutz bei Veranstaltungen

    Einladungen, Veranstaltungsbilder, Videoaufnahmen – öffentliche Veranstaltungen zu organisieren bergen viele Herausforderungen, vor allem aus datenschutzrechtlicher Sicht. Gerade im Rahmen der Öffentlichkeitsarbeit werden von Gemeinden verschiedenste Veranstaltungen...

    read more