Auftragsverarbeitung und technische Wartungen – Abgrenzungshilfen

Einleitung

Dienstleistern, die Gerätewartungen vornehmen, stellt sich, ausgelöst durch die DS-GVO häufig die Frage: Ist die Wartung von Geräten Auftragsverarbeitung nach Artikel 28 DS-GVO und muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden – oder reicht der „normale“ Wartungsvertrag aus.

Mögliche Konstellationen in der Wartungspraxis

Zur Beurteilung muss man sich die konkrete Dienstleistung ansehen. Einige Beispiele:

  1. Besteht bei der seitens des Auftraggebers die Absicht, dass der Auftragnehmer personenbezogene Daten des Auftraggebers zur Kenntnis nimmt? Beispielsweise, weil ein konkrete Problem nur so demonstriert werden kann? Oder weil die Arbeit mit den Daten inhaltlich Teil des Auftrages ist? In diesem Fall liegt sicherlich eine Auftragsverarbeitung vor und ein entsprechender Vertrag ist zu schließen.

  2. Findet die rein technische Wartung und Prüfung an einem System mit personenbezogenen Daten statt, aber es ist, durch den Auftraggeber, durch technische und organisatorische Maßnahmen ausgeschlossen, dass der Auftragnehmer Kenntnis von personenbezogenen Daten erhält? In diesem Fall liegt keine Auftragsverarbeitung von Daten vor. Aber der Auftraggeber muss sicherstellen, dass der Auftragnehmer keinen Zugriff auf personenbezogene Daten erhält.

  3. Doch zwischen diesen beiden Extremen liegt häufig die Realität: Vielfach ist für die Wartung oder Prüfung eines Systems der Zugriff auf die realen personenbezogenen Daten nicht vom Auftragnehmer beabsichtigt, aber sie kann durch einen unglücklichen Zufall passieren.

  4. Oder es sind sogar Schutzmaßnahmen durch den Auftraggeber ergriffen worden – aber der Auftragnehmer als technischer Experte für das Gerät kann diese Schutzmaßnahmen einfach umgehen.

  5. Und dann gibt es noch den Fall, dass die Wartung nicht die eigentlichen Systeme betrifft, die personenbezogene Daten halten, sondern „Hilfssysteme“ wie Klimatisierung, Stromversorgung etc. – aber durch das Arbeitsumfeld ist nicht 100%ig auszuschließen, dass der Techniker personenbezogene Daten zur Kenntnis nehmen kann.

Die Beispiele zu Ende gedacht

Um diese Fälle näher zu beleuchten, muss man sich Situationen – etwas extrem dargestellt – einmal vor Augen führen.

Das erste und das zweite Beispiel sind eindeutig. Doch wie sieht es im dritten Beispiel aus: Der Mitarbeiter des Dienstleisters, also der Auftragnehmer, sei in unserem Beispiel fachlich hochkompetent, von Datenschutz habe er jedoch keine Ahnung. Er sieht durch Zufall im Rahmen seiner Arbeit brisante Daten und berichtet davon beim Stammtisch … sicherlich nicht vom Auftraggeber gewollt.

Der Mitarbeiter hat zwar fraglos dumm gehandelt, er hat vielleicht eine vertragliche Nebenpflicht seines Arbeitsvertrages verletzt. Aber im Arbeitsvertrag war er in unserem konkreten Fall nicht zur Verschwiegenheit oder Vertraulichkeit verpflichtet worden. Warum auch, schließlich hatte der Auftraggeber ja sicherzustellen, dass der Dienstleister keine personenbezogenen Daten sehen kann.

Aus dem gleichen Grunde kann man dem Auftragnehmer vielleicht vorwerfen, dass es zum guten Ton gehört, die Mitarbeiter aufzuklären und auf den Datenschutz zu verpflichten etc., aber warum: Eigentlich hätte sein Mitarbeiter ja gar keine personenbezogenen Daten des Auftraggebers zu sehen bekommen dürfen.

Der „schwarze Peter“ liegt primär beim Auftraggeber

Damit liegt der „schwarze Peter“ in diesem Fall beim Auftraggeber: Er hat sich falsch verhalten, er hätte vielleicht dem Mitarbeiter des Dienstleisters die ganze Zeit über auf die Finger schauen müssen und dann verhindern können, dass personenbezogenen Daten offenbart werden.

Gleiches gilt für das vierte Beispiel: Hier agiert der Mitarbeiter, der sich Zugriff verschafft, evtl. schon kriminell. Aber auch hier liegt der „schwarze Peter“ wieder beim Auftraggeber: Seine Schutzmaßnahmen waren nicht genügend, dass ein Wartungstechniker besondere Möglichkeiten mit dem betreffenden System hat, hätte der Auftraggeber wissen müssen.

Echte Auftragsverarbeitung hätte den Auftraggeber geschützt: Der Dienstleister wäre verpflichtet gewesen, seinen Mitarbeiter auch zum Thema Datenschutz zu schulen und entsprechenden sensibilisierte Mitarbeiter einzusetzen.

Auch der Auftragnehmer hat einen „schwarzen Peter“

Doch auch für den Dienstleister, den Auftragnehmer, hätte ein Vertrag zur Auftragsverarbeitung Vorteile: Die Aufgaben und Pflichten zum Datenschutz sind klar definiert, es gibt weniger Grauzonen.

Wieder ein Beispiel: Ein IT-System wird an den Dienstleister zur Reparatur übergeben, die Festplatte scheint defekt. Der Dienstleiter tauscht die Festplatte aus und vernichtet die alte Festplatte. Ohne Zweifel hat der Auftraggeber die Daten an den Dienstleister gegeben. Der Dienstleister sollte das System – technisch – reparieren. Faktisch wurde dem Dienstleister überlassen, zu entscheiden, wie repariert wird, wir die alte Platte vernichtet wird. Und Artikel 28 (10) DS-GVO schreibt:

„.. gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“

Der Auftragnehmer wurde also zum Verantwortlichen, der Daten ohne Rechtsgrundlage und damit widerrechtlich verarbeitete hat. Keine Rolle, in die sich der Dienstleister finden möchte, denn die Auswirkungen sind immens: Information an den Betroffenen (Artikel 15 EU-DS-GVO), wg. der rechtsgrundlosen Verarbeitung eine Meldung an die Aufsichtsbehörde (Artikel 33 (1) DS-GVO) etc. In unserem Fall hätten wir also einen Auftraggeber und einen Auftragnehmer, die beide gegen den Datenschutz verstoßen haben.

Ob die beiden Beteiligten faktisch die Aufgabe unter sich aufgeteilt haben, evtl. gemeinsam Verantwortliche nach Artikel 26 DSGVO geworden sind, möchte ich hier nicht erörtern.

Das sagen die Aufsichtsbehörden

Im Jahr 2016 äußerte sich das Bayerische Landsamt für Datenschutzaufsicht ein einem Papier1 „Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und zu einer Anwendung von Ar. 28 DS-GVO führen.“ Offen bleibt hier, was unter einer „rein technischen Wartung“ zu verstehen ist. Die Datenschutzkonferenz (DSK) wird in Ihrem „Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO“ vom 16.01.2018 dann exemplarischer:

„besteht in diesem Rahmen [IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers)] für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung).

Zum einen geht es nicht nur um Notwendigkeit, es reicht die reine Möglichkeit des Zugriffs auf personenbezogene Daten aus. Außerdem sind konkrete Beispiele aufgeführt. Und betrachten wir Arbeiten an Stromzufuhr, Kühlung, Heizung, so ist offensichtlich: Mit Kundendaten kommt der Heizungsmonteur evtl. durch einen zufälligen Blick auf einen Bildschirm beim Entlüften der Heizung in Kontakt. Sicherlich ein anderer Fall, als wenn direkt am datenhaltenden System gearbeitet wird.

Und damit wird auch das fünfte Beispiel von oben beantwortet: Hier liegt keine Auftragsverarbeitung vor. In diesem Fall kam es zu einem Datenverstoß beim Auftraggeber, er hätte bessere Maßnahmen zum Datenschutz umsetzen müssen.

Fazit

Auftraggeber und Auftragnehmer haben beide ein großes Interesse an der Klarheit der Auftragsverarbeitung.

Faktisch lässt sich in einem Bereich die Entscheidung für oder wider Auftragsverarbeitung durch technische und organisatorische Maßnahmen gestalten: Kann und wird die Möglichkeit des Zugriffs auf personenbezogene Daten durch den Auftragnehmer ausgeschlossen, so entfällt ein Vertrag zur Auftragsverarbeitung. Besteht jedoch dies Möglichkeit, so liegt Auftragsverarbeitung vor.

Natürlich haben beide Parteien durch einen Vertrag zur Auftragsverarbeitung mehr Aufwand: Sowohl für den Vertragsschluss als auch in der Durchführung. Insbesondere der Auftragsverarbeiter bekommt klar definierte Pflichten auferlegt. Die größere Sicherheit in der Verarbeitung der Daten wiegt diesen Mehraufwand jedoch auf.

Es ist daher sehr zu empfehlen, lieber einen Vertrag zur Auftragsverarbeitung zu viel als einen Vertrag zu wenig zu schließen.

1(EU-Datenschutz-Grundverordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung

Markierungen: , ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.