Weitverbreitet sind heutzutage Wartungsverträge, welche zum einen die
Wartung, die Pflege oder den Service bei Hardware betreffen oder eben
eine entsprechende Wartung – oftmals in der Form einer Fernwartung – von
Software. Je nach betroffener Hardware oder Software kann das
Unternehmen, welches die entsprechende Wartung durchführt, dabei mehr
oder weniger mit personenbezogenen Daten des Auftraggebers in Berührung
kommen. Sei es, weil ein Unternehmen im Rahmen der Fehlerbeseitigung
oder der Problembehebung remote per Fernwartung auf das System, eine
Softwareanwendung oder eine Datenbank des Auftragnehmers zugreift. Sei
es, dass ein IT-Unternehmen mit Administratorenzugriffsrechten den
Server des Auftraggebers verwaltet. Sei es, dass ein Unternehmen PCs
oder Multifunktionsgeräte (Kopierer, Faxgeräte, Scanner usw.) mit
verbauter Festplatte mit in die Werkstatt nimmt und repariert.
In
diesen Fällen hat der Auftragnehmer die zu mindestens theoretische
Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen.
Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und
erforderlich sein – oder auch nicht.
Der Gesetzgeber sieht hier
eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage
wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG.
Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung
und Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem
er eine entsprechende Geltung der Vorschriften zur
Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es
handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine
Auftragsdatenverarbeitung an sich - daher ist streng genommen die
Überschrift dieses Beitrags nicht ganz korrekt - sondern nur um eine
entsprechende Anwendung dieser Vorschriften aufgrund einer
vergleichbaren Interessenlage.
Hierbei ist aber nur eine Prüfung
oder eine Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen,
wenn hierbei einen Zugriff auf personenbezogene Daten nicht
ausgeschlossen werden kann. Die Anforderungen entsprechend einer
Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich
ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf
personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in
den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in
denen eine entsprechende Wartung oder Prüfung durch die verantwortliche
Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.
Dies
bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder
Hardwarewartung eine entsprechende Vereinbarung entsprechend den
Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein
dürfte. Eine solche Vereinbarung ist freilich anzupassen an die
Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen
Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis
der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG,
also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen
Daten, der Befugnisse und Weisungen der Parteien als auch die
Kontrollepflichten des Auftraggebers und die korrespondierenden
Duldungspflichten des Auftragnehmers.
Da der Gesetzgeber bei
seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der
Absätze 1-4 hierbei offensichtlich die klassische
Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die
Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige
Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen
angepasst werden.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe