Die Fernwartung von IT-Systemen per Remote-Zugriff war nach dem bisherigen BDSG eine Auftragsdatenverarbeitung: Nach § 11 Abs. 5 BDSG (alt) führte die Prüfung oder Wartung automatisierter Verfahren zu einer entsprechenden Anwendung des § 11 Abs. 1 BDSG (alt), wenn „dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“ Somit war unabhängig davon, ob es tatsächlich zu einer Verarbeitung personenbezogener Daten durch den von der verantwortlichen Stelle im Sinn von § 3 Abs. 7 BDSG (alt) beauftragten Dienstleister kam, ein Vertrag zur Auftragsdatenverarbeitung zu schließen.
Mit Einführung der DS-GVO ist § 11 Abs. 5 BDSG (alt) ersatzlos entfallen, die DS-GVO enthält mithin nun keine Regelung mehr, welche die Prüfung und Wartung automatisierter Verfahren als Auftragsverarbeitung behandelt. Nach der neuen Gesetzeslage wäre der Abschluss eines Vertrags zur Auftragsverarbeitung nun nicht mehr erforderlich, solange es nicht tatsächlich zur Verarbeitung personenbezogener Daten kommt. Ausnahmen hiervon macht der deutsche Gesetzgeber lediglich bei der Auftragsverarbeitung von Sozialdaten. Nach der Neufassung des § 80 Abs. 5 SGB X neu ist zu unterstellen, dass Prüfungs-und Wartungsarbeiten bei tatsächlicher Möglichkeit des Zugangs zu personenbezogenen Daten durch den Auftragsverarbeiter als Auftragsverarbeitung zu qualifizieren sein sollen. Weitere Ausnahmen werden sich ggf. noch in zukünftigen Landesdatenschutzgesetzen finden (deren Vereinbarkeit mit der höherrangigen DSGVO hier unterstellt).
Eine zwingende Auftragsverarbeitung bei Prüfung und Wartung lässt jedoch im Übrigen grundsätzlich nicht begründen. Denn diese Notwendigkeit besteht gemäß Art. 4 Nr. 7, Art. 28 DS-GVO nur dann, wenn Prüfungs- und Wartungsleistung die zielgerichtete Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DS-GVO mit sich bringt. Zweifelsohne wäre dies bei einem unumgänglichen Zugriff auf Datenbanken mit personenbezogenen Daten bei der Fernwartung eines produktiven IT-Systems der Fall. Wenn hingegen ein Fernzugriff ohne Personenbeziehbarkeit im Sinne von Art. 4 Nr. 1 DS-GVO gegeben ist, was bspw. bei einer Analyse von technischen Logfiles oder der Inaugenscheinnahme von Hardware oder Software der Fall wäre, wären bloße Prüf- und Wartungsleistungen nicht mehr von der Auftragsverarbeitung erfasst.
Dies lässt sich damit begründen, dass vormals das „Erheben“ im Sinne des § 3 Abs. 3 BDSG (alt) als Verschaffung der Möglichkeit zur Kenntnisnahme ausgelegt wurde. Im Lichte des Art. 4 Nr. 2 DS-GVO ist dies nun nicht mehr zwingend: Zwar besteht Einigkeit darüber, dass allein das zielgerichtete Verschaffen personenbezogener Daten den Tatbestand des Erhebens und des Erfassens erfüllt. Besteht bei einem Dienstleister aber allein die Möglichkeit eines Zugangs zu personenbezogenen Daten, fehlt es bis zur Kenntniserlangung noch an jeglichem Verschaffen derselben. Auch wenn man eine Kenntniserlangung annehmen will, liegt zumindest solange kein zielgerichtetes Verschaffen personenbezogener Daten vor, solange der Dienstleister nur bei Gelegenheit der Prüfung und Wartung von diesen Daten Kenntnis erlangt und diese nach der Kenntnisnahme nicht weiter verarbeitet. Erst bei einer solchen weiteren Verarbeitung der zur Kenntnis gelangten Daten wäre man von einer Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO sprechen.
Diese Verneinung einer Auftragsverarbeitung bei einem typischen Fall der Fernwartung hat für beide Parteien Vorteile: Der Auftragnehmer entzieht sich der Nachweispflicht aus Art. 28 Abs. 3 lit. h) DSGVO gegenüber dem Auftraggeber, die gesamtschuldnerische Haftung entfällt ebenso wie die Pflicht zum Abschluss eines Vertrags, der den Anforderungen aus Art. 28 Abs. 3 DSGVO entspricht. Beide Parteien können sich auf den Abschluss einer geeigneten Geheimhaltungsvereinbarung beschränken und müssen lediglich in ihrem Verantwortungsbereich die jeweils nach Maßgabe von Art. 30 DSGVO erforderlichen und angemessenen technische und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung treffen.
Anders scheint dies derzeit noch die Datenschutzkonferenz (DSK) in ihrem Kurzpapier Nr. 13 (abrufbar als PDF hier) zu sehen, ohne dies jedoch näher zu begründen. Achtung: Empfehlungen oder Hinweise der DSK sind weder verbindlich noch zwingend einstimmig zustande kommen. Sie geben eine mögliche Sicht auf die Sach- und Rechtslage wieder und können genauso richtig oder falsch sein wie jede andere Sichtweise. Insbesondere fehlt es bislang noch an jeglicher Aussage der Art. 29 Gruppe zur Einordnung der Fernwartung unter Art. 28 DSGVO oder gar einer Entscheidung des EuGH. Skepsis gegenüber Beschlüssen der DSK, die altes Recht in die neue Zeit retten will, ist deshalb angebracht.
Haben Sie Fragen?
Hier finden Sie unsere Ansprechpartner.
Zu weiteren offenen Rechtsfragen im Zusammenhang mit der Auftragsverarbeitung wird sich unser Partner und Datenschutzexperte Sascha Kremer in dem im Mai erscheinenden Heidelberger Kommentar zur Datenschutzgrundverordnung mit Bundesdatenschutzgesetz äußern, herausgegeben von Schwartmann/Jaspers/Thüsing/Kugelmann. Dort wird Sascha Kremer auch die Art. 24, 26, 27 und 29 DSGVO kommentieren.
Diese Auslegung der Art. 4 und 28 DSGVO würde ja bedeuten, dass auch das Hosting (eines Website, eines Webshops, eines Cloud-Servers für beliebige Daten etc.) keine Auftragsverarbeitung durch den Hoster darstellt. Denn der Hoster hat ja keine auftragsgemäße Kenntnis der Daten auf seinen Servern, sondern ist nur für das einwandfreifrei Funktionieren der Hard- und Software zuständig.
Das wäre zu schön um wahr zu sein.
Ich würde mich sehr freuen, wenn Sie das noch einmal kommentieren könnten.
Das wäre in der Tat zu schön um wahr zu sein. Bestandteil des Hosting ist zwingend das Speichern. Das passiert nicht zufällig, sondern zielgerichtet, einschließlich der beim Hosting zu speichernden personenbezogenen Daten. Auch bei der Fernwartung würde es spätestens dann zur Auftragsverarbeitung kommen, wenn der Fernwarter nach der (zufälligen, ungewollten) Kenntniserlangung die zur Kenntnis gelangten personenbezogenen Daten (dann zielgerichtet) weiterverarbeitet, z.B. ohne vorherige Anonymisierung speichert für die weitere Fehleranalyse. Hosting ist also Auftragsverarbeitung, wenn auch personenbezogene Daten gespeichert und sonst verarbeitet werden.