Wartungsverträge für Hardware, Pflegeverträge für Software und Fernwartung
Weitverbreitet sind heutzutage Wartungsverträge, welche zum einen die Wartung, die Pflege oder den Service bei Hardware betreffen oder eben eine entsprechende Wartung – oftmals in der Form einer Fernwartung – von Software. Je nach betroffener Hardware oder Software kann das Unternehmen, welches die entsprechende Wartung durchführt, dabei mehr oder weniger mit personenbezogenen Daten des Auftraggebers in Berührung kommen. Sei es, weil ein Unternehmen im Rahmen der Fehlerbeseitigung oder der Problembehebung remote per Fernwartung auf das System, eine Softwareanwendung oder eine Datenbank des Auftragnehmers zugreift. Sei es, dass ein IT-Unternehmen mit Administratorenzugriffsrechten den Server des Auftraggebers verwaltet. Sei es, dass ein Unternehmen PCs oder Multifunktionsgeräte (Kopierer, Faxgeräte, Scanner usw.) mit verbauter Festplatte mit in die Werkstatt nimmt und repariert.
Zumindest theoretischer Zugriff auf personenbezogene Daten?
In diesen Fällen hat der Auftragnehmer die zu mindestens theoretische Möglichkeit, auf personenbezogene Daten des Auftraggebers zuzugreifen. Dies kann im Rahmen des Wartungsauftrags gewünscht, erlaubt und erforderlich sein – oder auch nicht.
Der Gesetzgeber sieht hier eine ähnliche Situation und insbesondere eine ähnliche Gefährdungslage wie bei der klassischen Auftragsdatenverarbeitung nach § 11 BDSG. Dementsprechend stellt der Gesetzgeber in § 11 Abs. 5 BDSG einer Prüfung und Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleich, indem er eine entsprechende Geltung der Vorschriften zur Auftragsdatenverarbeitung gemäß § 11 Abs. 1-4 BDSG angeordnet. Es handelt sich bei der Prüfung, Wartung und Fernwartung also nicht um eine Auftragsdatenverarbeitung an sich – daher ist streng genommen die Überschrift dieses Beitrags nicht ganz korrekt – sondern nur um eine entsprechende Anwendung dieser Vorschriften aufgrund einer vergleichbaren Interessenlage.
Hierbei ist aber nur eine Prüfung oder eine Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag betroffen, wenn hierbei einen Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Die Anforderungen entsprechend einer Auftragsdatenverarbeitung sind somit nicht zu fordern, sofern gänzlich ausgeschlossen werden kann, dass ein – auch theoretischer – Zugriff auf personenbezogene Daten erfolgen kann. Dies dürfte in der Praxis nur in den seltensten Fällen zutreffen. Ausgeschlossen sind auch Fälle, in denen eine entsprechende Wartung oder Prüfung durch die verantwortliche Stelle selbst durchgeführt wird, etwa die eigene IT-Abteilung.
Anforderungen des Datenschutzrechts: Vereinbarung zur Auftragsdatenverarbeitung (ADV)
Dies bedeutet in der Praxis, dass in den meisten Fällen einer Software- oder Hardwarewartung eine entsprechende Vereinbarung entsprechend den Vorgaben der Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein dürfte. Eine solche Vereinbarung ist freilich anzupassen an die Besonderheiten einer (Fern-) Wartung. Im übrigen gelten die sonstigen Erfordernisse gemäß § 11 BDSG hier genauso, insbesondere das Erfordernis der Schriftlichkeit und auch die Anforderungen nach § 11 Abs. 2 BDSG, also etwa eine ausführliche Beschreibung des Auftrags, der betroffenen Daten, der Befugnisse und Weisungen der Parteien als auch die Kontrollepflichten des Auftraggebers und die korrespondierenden Duldungspflichten des Auftragnehmers.
ADV auf Besonderheiten der Wartung anpassen
Da der Gesetzgeber bei seinem Hinweis in § 11 Abs. 5 BDSG auf die entsprechende Anwendung der Absätze 1-4 hierbei offensichtlich die klassische Auftragsdatenverarbeitung im Sinne hatte und erst in zweiter Linie die Prüfung- und Wartungssituationen, sollte eine entsprechende notwendige Vereinbarung unbedingt auf die Besonderheiten der Wartungssituationen angepasst werden.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
