Geschrieben am 22.02.2017 von:
Die Datenschutzgrundverordnung wird einige Veränderungen mit sich bringen, unter anderem auch in Bezug auf die sogenannte Auftragsdatenverarbeitung. Hierunter fallen derzeit auch IT-Wartungsarbeiten, was sich aufgrund der Verordnung aber ändern könnte. Die Rechtslage in dieser Hinsicht ist unklar.
Regelungen des BDSG
Noch ist in Deutschland das Bundesdatenschutzgesetz einschlägig. Gem. § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dies eine Rechtsvorschrift erlaubt oder anordnet oder der Betroffene eingewilligt hat. Eine Weitergabe von Daten ist jedoch ausnahmsweise auch ohne ausdrückliche Erlaubnisnorm oder Einwilligung zulässig, wenn es sich um eine formal korrekte Auftragsdatenverarbeitung nach § 11 BDSG handelt.
Nach § 11 Abs. 2 BDSG ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen nach § 9 BDSG und der dazugehörigen Anlage sorgfältig auszuwählen. Außerdem ist der Auftrag ist schriftlich zu erteilen.
In der Praxis ist es oft nicht einfach, Dienstleister von der Notwendigkeit eines solchen Auftragsdatenverarbeitungsvertrags zu überzeugen. Die Gründe hierfür sind wohl die formalen Anforderungen das Erfordernis der Prüfung der technisch-organisatorischen Maßnahmen. Viele Dienstleister haben nicht einmal eine Beschreibung.
11 Abs. 5 BDSG stellt in Bezug auf die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag aber klar, dass die Vorschriften über die Auftragsdatenverarbeitung anwendbar sind – zumindest, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Nach noch gültigem Recht sind Wartungsarbeiten also als Auftragsdatenverarbeitung zu qualifizieren.
DS-GVO unklar
In der ab Mai 2018 gültig werdenden Datenschutzgrundverordnung fehlt es an einer solchen Klarstellung. Zwar gibt es mit Art. 28 DS-GVO eine Vorschrift zur Auftrags(daten)verarbeitung, jedoch wird hierin keine ausdrückliche Regelung zu Wartungsarbeiten getroffen.
Aus diesem Grund wird bereits jetzt darüber gestritten, ob Wartungsarbeiten zukünftig als Auftragsdatenverarbeitung zu qualifizieren sind oder nicht.
Man könnte Wartungsarbeiten als eine Datenverarbeitung im Sinne von Art. 4 DS-GVO ansehen. Da diese auch im Auftrag erfolgt, ist die Anwendbarkeit des Art. 28 DS-GVO eigentlich der logische Schluss. Hiergegen wird argumentiert, dass gerade aufgrund des Fehlens einer Klarstellung eine direkte Anwendung des Art. 28 DS-GVO nicht in Betracht kommt. Da in diesem Fall aber eine planwidrige Regelungslücke vorliegen soll, wird eine analoge Anwendung bejaht.
An der bisherigen Rechtslage würde sich in diesem Fall nichts ändern.
Andere sehen Wartungsarbeiten aufgrund der fehlenden Nennung wiederum nicht vom Anwendungsbereich des Art. 28 DS-GVO erfasst. Eine analoge Anwendung der Vorschrift soll ebenfalls nicht in Betracht kommen, weil der europäische Gesetzgeber Wartungsarbeiten
bewusst vom Schutzbereich des Art. 28 DS-GVO ausgeschlossen hat. Außerdem soll es auch auf den Willen des Auftragsgebers ankommen. Wenn dieser gar nicht will und es auch nicht notwendig ist, dass der Auftragnehmer Daten in irgendeine Weise verarbeitet, dann könne auch keine Auftragsdatenverarbeitung vorliegen.
Anstatt einer Auftragsdatenverarbeitung könnte bei einem Bekanntwerden von Daten im Rahmen von Wartungsarbeiten auch eine schlichte Übermittlung vorliegen, die dann allerdings einer gesetzlichen Ermächtigungsgrundlage bedarf. Eine solche könnte sich in Art. 6 Abs. 1 f) DS-GVO finden, wonach die Verarbeitung von personenbezogenen Daten zulässig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
Nach diesen Ansichten wäre in Zukunft also kein Auftragsdatenverarbeitungsvertrag mehr notwendig.
Sicher ist sicher
Es bleibt abzuwarten, wie das Ganze in der Praxis gehandhabt wird.
Unternehmen ist jedoch grundsätzlich zu empfehlen, eher einen Auftragsdatenverarbeitungsvertrag abzuschließen. Ist keiner notwendig, ist der Vertrag nicht schädlich. Ist einer notwendig, vermeidet man die Verhängung eines Bußgelds. Aufgrund der Höhe von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes lohnt sich der formelle Aufwand allemal.