EU-Datenschutzgrundverordnung: Fernwartung noch Auftragsdatenverarbeitung?

Nach den bisherigen Regelungen im Bundesdatenschutzgesetz unterliegt eine Fernwartung den Regelungen in § 11 BDSG zur Auftragsdatenverarbeitung. In § 11 Absatz 5 BDSG heißt es, dass die Absätze 1 bis 4 von § 11 entsprechend anzuwenden sind, wenn es um die Wartung von Datenverarbeitungsanlagen durch andere Stellen geht und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Es geht also nicht darum, ob ein unberechtigter oder berechtigter Zugriff auf personenbezogene Daten durch das Unternehmen im Rahmen der Fernwartung geschieht, sondern ob ein Zugriff möglich ist.

Dies führt aktuell dazu, dass faktisch fast alle Fernwartungsverträge den Regelungen zur Auftragsdatenverarbeitung unterliegen. Unternehmen im Anwendungsbereich des Bundesdatenschutzgesetzes müssen dann entsprechende Verträge zur Auftragsdatenverarbeitung abschließen. Weiterhin fordert der Gesetzgeber in § 11 Absatz 2 BDSG, dass der Auftragnehmer sorgfältig auszuwählen ist und dabei die von ihm getroffenen technischen und organisatorischen Maßnahmen näher betrachtet werden müssen. Der Auftraggeber soll auch am Beginn der Fernwartung und danach regelmäßig die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überprüfen. Im Gesetzestext wird der Begriff „überzeugen“ genutzt. Dies macht deutlich, dass ein gewisser Entscheidungsrahmen durchaus gewünscht und gewollt ist. Weiterhin verlangt der Gesetzgeber im Rahmen der Auftragsdatenverarbeitung, dass die Überprüfungen dokumentiert werden.

Hier ergeben sich mit der EU-Datenschutzgrundverordnung neue rechtliche Aspekte und auch Fragen. Die Auftragsdatenverarbeitung ist in Artikel 28 der DS-GVO geregelt. In den Begriffsbestimmungen in Artikel 4 ist eine eigene Definition für den „Auftragsverarbeiter“ vorgesehen. Zukünftig heißt die Auftragsdatenverarbeitung nur noch Auftragsverarbeitung. Auftragsverarbeiter ist eine natürliche oder juristische Person. Es können auch Behörden, Einrichtungen oder andere Stellen Auftragsverarbeiter sein. Einzige Voraussetzung ist nach Artikel 4 Nr. 8 DS-GVO, dass die Einrichtung oder juristische Person die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Dabei geht die DS-GVO von einem sehr weiten und umfassenden Verarbeitungsbegriff aus. Verarbeiten ist beispielsweise das Auslesen, das Abfragen oder die Verwendung von personenbezogenen Daten.

Artikel 28 DS-GVO fordert, dass der Verantwortliche vom Auftragsverarbeiter ausreichende und hinreichende Garantien fordert, dass die notwendigen technischen und organisatorischen Maßnahmen im Einklang mit den Anforderungen der Verordnung genutzt werden. Es soll dabei wie bisher nicht nur am Beginn des Vertragsverhältnisses der Auftragsverarbeiter geprüft werden, sondern eine entsprechende Prüfung erfolgt auch während des Vertragsverhältnisses. Dies ergibt sich nicht direkt aus dem Wortlaut. Allerdings heißt es in Artikel 28 Absatz 1 DS-GVO, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeitet, die entsprechende Garantieren bieten. Aus der Formulierung und Forderung an die Zusammenarbeit ergibt sich, dass es sich dabei nicht um eine gesetzliche Anforderung nur für den Beginn des Vertragsverhältnisses handelt.

In Artikel 28 Absatz 3 wird festgelegt, dass die Verarbeitung nur auf Grundlage eines Vertrages oder eines anderen Rechtsinstrumentes erfolgen soll. Hier wird wie bisher ein gesonderter Vertrag zur Auftragsdatenverarbeitung abzuschließen sein.

Die personenbezogenen Daten sollen im Übrigen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Hier entstehen neue Pflichten für den Auftragsverarbeiter. Der Auftragsverarbeiter muss dokumentieren, dass er die Weisungen des Verantwortlichen einhält.

Weiterhin sieht die DS-GVO Haftungserweiterungen für den Auftragsverarbeiter vor. Im Rahmen von potenziellen Schadensersatzansprüchen nach Artikel 82 DS-GVO können Betroffene auch direkt den Auftragsverarbeiter in Anspruch nehmen. Auch die Verhängung von Geldbußen richtet sich gemäß Artikel 83 Absatz 4 DS-GVO direkt an den Auftragsverarbeiter. Hier verändert sich deutlich der bisherige „Schutz“, den die Auftragsverarbeiter nach den aktuellen Regelungen des Bundesdatenschutzgesetzes haben.

In Artikel 28 DS-GVO ist keine ausdrückliche Regelung zur Fernwartung vorgesehen. Insoweit stellt sich die Frage, ob Fernwartungsverträge nach wie vor eine Auftragsdatenverarbeitung sind? Aufgrund des weiten Begriffs der „Verarbeitung“, ist davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdatenverarbeitung und keine Anwendung des Artikels 28 DS-GVO vorliegt. Wenn Gegenstand der Fernwartung der Umgang mit personenbezogenen Daten ist, so ist auch weiterhin von einer Auftragsdatenverarbeitung, oder im Wordding der DS-GVO von einer „Auftragsverarbeitung“ nach Artikel 28 DS-GVO auszugehen. Dies wird auch von einer Stellungnahme der Bayerischen Landesdatenschutzbehörde zum Thema Auftragsdatenverarbeitung nach der DS-GVO so bestätigt.

Gern unterstützen wir Sie bundesweit, wenn Sie Fragen zur Umsetzung der EU-Datenschutzgrundverordnung in Unternehmen und Behörden haben. Wir sind als externe Datenschutzbeauftragte bundesweit aktiv und begleiten derzeit mehrere Umstellungsprojekte auf die neuen gesetzlichen Anforderungen, die ab dem 25.05.2018 gelten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 7 Bewertung(en), durchschnittlich: 4,43 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Ein Kommentar zu “EU-Datenschutzgrundverordnung: Fernwartung noch Auftragsdatenverarbeitung?
    Schreibe einen Kommentar
    Deine E-Mail-Adresse wird nicht veröffentlicht.

    Sie können folgende HTML-Tags benutzen:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

    *
    *

    Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

    Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

    Schließen