Skip to content
Datenschutz-Manager-24Datenschutz-Manager-24
  • DSGVO
  • ErwG
  • BDSG
  • TTDSG
  • Infothek

Stand 08-2021 Auftragsverarbeitung bei Wartung von IT-Systemen



© stockpics / Fotolia.com
Häufig wird die Wartung von IT-Systemen pauschal als Auftragsverarbeitung eingestuft, unabhängig davon, wie umfangreich die Zugriffe auf personenbezogene Daten sind. Ebenso häufig kommt es zwischen den verantwortlichen Unternehmen und den IT-Dienstleistern zu Diskussionen, ob eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden soll oder nicht. Der Europäische Datenschutzausschuss sieht hier jedenfalls einen gewissen Spielraum.

Bisherige Einschätzung der Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz (Zusammenschluss der Aufsichtsbehörden des Bundes und der Länder) stuft bereits eine Wartung von IT-Systemen, bei denen eine Kenntnisnahme von personenbezogenen Daten nicht ausgeschlossen werden kann, als eine Auftragsverarbeitung mit der entsprechenden Notwendigkeit eines Vertrags ein (siehe DSK-Kurzpapier 13 Stand 16.01.2018 Seite 3).

Auffassung des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss hat hierzu eine etwas differenzierte Einschätzung. Es komme darauf an, ob der Auftragnehmer überhaupt mit der Verarbeitung von personenbezogenen Daten beauftragt wird und ob personenbezogene Daten bei der Wartung lediglich zufällig und in begrenztem Umfang zur Kenntnis genommen werden. In diesen Fällen sei es ausreichend, angemessene technische und organisatorische Maßnahmen zu treffen. Dies könnte z.B. eine Geheimhaltungsvereinbarung oder Vertraulichkeitsverpflichtung für den Dienstleister sein. Eine weitere organisatorische Maßnahme könnte eine Vorgabe an die eigenen Mitarbeiter sein, vor einem Wartungseinsatz Anwendungen und Dokumente mit vertraulichen Daten zu schließen (siehe European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 2.0, Seite 26 Nr. 83: „Example: IT-consultant fixing a software bug“).

Fazit

Sollte ein Dienstleister im Rahmen eines allgemeinen IT-Supports umfangreichen, systematischen Zugriff auf personenbezogene Daten haben, wird der Abschluss einer Vereinbarung zur Auftragsverarbeitung regelmäßig erforderlich sein. Bei wenigen gelegentlichen Wartungseinsätzen, bei denen ein Zugriff auf personenbezogene Daten auf ein zufälliges Minimum reduziert werden kann, könnte demnach eine Vereinbarung zur Auftragsverarbeitung entbehrlich sein.

Querverweise
Art. 4 Nr. 8 DSGVO – Begriffsbestimmung
Art. 28 DSGVO – Auftragsverarbeiter
§ 62 BDSG – Auftragsverarbeitung
Infothek – Auftragsverarbeitung
Infothek – Datenschutzkonferenz
Infothek – Europäischer Datenschutzausschuss

Abonnieren Sie unseren
Datenschutz-Newsletter

News, Fachbeiträge und Urteile
kostenlos und jederzeit abbestellbar

Jetzt Abonnieren
Wilhelmshöher Straße 1 34590 Wabern (Deutschland) info@datenschutz-manager-24.de
Impressum
Datenschutz
Hilfe
Kontakt

Abonnieren Sie unseren
Datenschutz-Newsletter

News, Fachbeiträge und Urteile
kostenlos und jederzeit abbestellbar

Jetzt Abonnieren
  • DSGVO
  • ErwG
  • BDSG
  • TTDSG
  • Infothek