Bisherige Einschätzung der Datenschutzkonferenz (DSK)
Die Datenschutzkonferenz (Zusammenschluss der Aufsichtsbehörden des Bundes und der Länder) stuft bereits eine Wartung von IT-Systemen, bei denen eine Kenntnisnahme von personenbezogenen Daten nicht ausgeschlossen werden kann, als eine Auftragsverarbeitung mit der entsprechenden Notwendigkeit eines Vertrags ein (siehe Seite 3 Kurzpapier Nr: 13).
Auffassung des Europäischen Datenschutzausschusses (EDSA)
Der Europäische Datenschutzausschuss hat hierzu eine etwas differenzierte Einschätzung. Es komme darauf an, ob der Auftragnehmer überhaupt mit der Verarbeitung von personenbezogenen Daten beauftragt wird und ob personenbezogene Daten bei der Wartung lediglich zufällig und in begrenztem Umfang zur Kenntnis genommen werden. In diesen Fällen sei es ausreichend, angemessene technische und organisatorische Maßnahmen zu treffen. Dies könnte z.B. eine Geheimhaltungsvereinbarung oder Vertraulichkeitsverpflichtung für den Dienstleister sein. Eine weitere organisatorische Maßnahme könnte eine Vorgabe an die eigenen Mitarbeiter sein, vor einem Wartungseinsatz Anwendungen und Dokumente mit vertraulichen Daten zu schließen (siehe European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0, Seite 26 Nr. 83: „Example: IT-consultant fixing a software bug“).
Fazit
Sollte ein Dienstleister im Rahmen eines allgemeinen IT-Supports umfangreichen, systematischen Zugriff auf personenbezogene Daten haben, wird der Abschluss einer Vereinbarung zur Auftragsverarbeitung regelmäßig erforderlich sein. Bei wenigen gelegentlichen Wartungseinsätzen, bei denen ein Zugriff auf personenbezogene Daten auf ein zufälliges Minimum reduziert werden kann, könnte demnach eine Vereinbarung zur Auftragsverarbeitung entbehrlich sein.