Sep
Die Datenschutzkonferenz (Zusammenschluss der Aufsichtsbehörden des Bundes und der Länder) stuft bereits eine Wartung von IT-Systemen, bei denen eine Kenntnisnahme von personenbezogenen Daten nicht ausgeschlossen werden kann, als eine Auftragsverarbeitung mit der entsprechenden Notwendigkeit eines Vertrags ein.[1]
Der Europäische Datenschutzausschuss hat hierzu eine etwas differenzierte Einschätzung. Es komme darauf an, ob der Auftragnehmer überhaupt mit der Verarbeitung von personenbezogenen Daten beauftragt wird und ob personenbezogene Daten bei der Wartung lediglich zufällig und in begrenztem Umfang zur Kenntnis genommen werden. In diesen Fällen sei ausreichend, angemessene technische und organisatorische Maßnahmen zu treffen.[2] Dies könnte z.B. eine Geheimhaltungsvereinbarung oder Vertraulichkeitsverpflichtung für den Dienstleister sein. Eine weitere organisatorische Maßnahme könnte eine Vorgabe an die eigenen Mitarbeiter sein, vor einem Wartungseinsatz Anwendungen und Dokumente mit vertraulichen Daten zu schließen.
Sollte ein Dienstleister im Rahmen eines allgemeinen IT-Supports umfangreichen, systematischen Zugriff auf personenbezogene Daten haben, wird der Abschluss einer Vereinbarung zur Auftragsverarbeitung hingegen regelmäßig erforderlich sein. Bei Einzelbeauftragungen, bei denen ein Zugriff auf personenbezogene Daten auf ein zufälliges Minimum reduziert werden kann, könnte demnach eine Vereinbarung zur Auftragsverarbeitung entbehrlich sein.