Auftragsdatenverarbeitung bei Wartung oder Fernwartung
In diesen Fällen hat der Auftragnehmer die zu mindestens theoretische Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen. Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und erforderlich sein – oder auch nicht.
Der Gesetzgeber sieht hier eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem er eine entsprechende Geltung der Vorschriften zur Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine Auftragsdatenverarbeitung an sich – daher ist streng genommen die Überschrift dieses Beitrags nicht ganz korrekt – sondern nur um eine entsprechende Anwendung dieser Vorschriften aufgrund einer vergleichbaren Interessenlage.
Hierbei ist aber nur eine Prüfung oder eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen, wenn hierbei einen Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Anforderungen entsprechend einer Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in denen eine entsprechende Wartung oder Prüfung durch die verantwortliche Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.
Dies bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder Hardwarewartung eine entsprechende Vereinbarung entsprechend den Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein dürfte. Eine solche Vereinbarung ist freilich anzupassen an die Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG, also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen Daten, der Befugnisse und Weisungen der Parteien als auch die Kontrollepflichten des Auftraggebers und die korrespondierenden Duldungspflichten des Auftragnehmers.
Da der Gesetzgeber bei seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der Absätze 1-4 hierbei offensichtlich die klassische Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen angepasst werden.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe