Wartung und Pflege von IT-Systemen & Datenschutz

Bei der Wartung und Pflege von IT-Systemen ist auch das Thema Datenschutz zu berücksichtigen. Hintergrund hierfür ist, dass auch bei der Wartung oder Pflege von IT-Systemen eine „Verarbeitung“ von personenbezogenen Daten im Auftrag vorliegen kann. Dann wäre auch ein entsprechender Auftragsverarbeitung nach Art. 28 DSGVO zwischen Auftraggeber und Auftragnehmer abzuschließen.

Während auf Grundlage des alten Rechts – vor der DSGVO – schon die Möglichkeit der Kenntnisnahme für das Vorliegen einer Auftragsverarbeitung ausreichte (§ 11 Abs. 5 BDSG a.F.), ist nunmehr stets entscheidend, ob denn eine „Verarbeitung“ vorliegt oder nicht.

Eine „Verarbeitung“ von personenbezogenen Daten ist in Art. 4 Nr. 2 DSGVO legaldefiniert. Danach ist eine Verarbeitung jeder

mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Unabhängig von den auch sonst schwierigen Abgrenzungsfragen zu einer Auftragsverarbeitung (dazu hier mehr) ist bei einer Wartung und Pflege von IT-Systemen wie z.B. bei klassischen IT-Dienstleister-Tätigkeiten zu fragen, ob schon eine „Verarbeitung“ vorliegt oder nicht. Das erkläre ich auch in diesem Video hier noch einmal näher:

Richtigerweise wird von Teilen der rechtswissenschaftlichen Literatur vertreten, dass eine Auftragsverarbeitung nicht schon dann vorliegt, wenn lediglich die Möglichkeit der Kenntnisnahme von personenbezogenen Daten besteht.

Wenn ein IT-Dienstleister also z.B. nur den konkreten Auftrag der Prüfung hat, ob ein Backup erfolgreich abgeschlossen wurde und dies nicht die Einzelsichtung von Datei oder Datenbankinhalten beinhaltet, dann wird man nicht von einer „Verarbeitung“ und damit auch keiner Auftragsverarbeitung ausgehen müssen. Ein entsprechender Auftragsverarbeitungsvertrag wäre dann auch entbehrlich.

Das bedeutet nicht, dass man nicht zusätzlich ggf. Vereinbarungen zum Datenschutz treffen sollte. Hierzu gibt es übrigens für Datenschutz-Coaching-Mitglieder im „Downloads & Muster“-Bereich entsprechende Vorlagen. Aber es muss nicht gleich mit Kanonen auf Spatzen geschossen werden, wenn wir den Auftragsverarbeitungsvertrag hier mal mit einer „Kanone“ gleichsetzen würden.

Wenn ein IT-Dienstleister aber z.B. auch den Auftrag hat, Benutzer im Active-Directory anzulegen oder Rechte einzuräumen u.ä., dann wird dies nach meinem Dafürhalten dann schon eine „Verarbeitung“ im Auftrag darstellen. In diesen Fällen ist dann ein Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen.

Dieser darf aber in diesen Konstellationen durchaus etwas kürzer als vielleicht üblich ausfallen.

Und dazu stelle ich kostenfrei nachfolgendes Muster auf Basis der DSGVO zur Verfügung. Das Muster ist so gestaltet, dass es eine gute Ausgangsgrundlage für gängige Fälle von Wartungen von IT-Systemen sein sollte.

Im Gegensatz zu früheren Versionen sind hier schon alle wesentlichen Punkte für ein klassisches Anwendungsszenario einer IT-Wartung vorausgefüllt. Auch für die erforderlichen technischen und organisatorischen Maßnahmen (TOM) wird hier eine Variante gewählt, bei der der Auftraggeber ein Mindestmaß an Maßnahmen vorgibt. Der Auftragnehmer muss hier dann jeweils schauen, ob er diese Maßnahmen erfüllt und ggf. Anpassungen oder Streichungen vornehmen. So kommt man in der Praxis recht schnell zu einem ordentlichen Vertragsschluss.

Das bedeutet natürlich für den Auftraggeber nicht, dass man den Auftragnehmer nicht sorgfältig vor der Beauftragung prüfen sollte. Ich kann gerade im Bereich der IT-Dienstleister nur empfehlen, mal genauer hinzuschauen, wie der Dienstleister im Bereich der Datensicherheit so aufgestellt ist. Schließlich erhält der Dienstleister ggf. Zugangsdaten zu IT-Systemen des Auftraggebers. Und diese sind besonders gesichert zu verwahren.

Nutzungsregeln:

Urheber für das nachfolgende Muster eines Vertrages einer Datenschutzvereinbarung zur Wartung und Pflege von IT-Systemen bin ich: Rechtsanwalt Stephan Hansen-Oest

Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind ohne Zustimmung von mir erlaubt.

Es ist zudem erlaubt, etwaige Hinweise zum Urheber im Vertragsdokument zu entfernen.

Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung von mir als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.

Kurzfassung der Nutzungsregeln: Der Vertrag kann gerne in der Praxis von Unternehmen oder auch Anwälten genutzt und verändert werden. Ich möchte jedoch nicht, dass der Vertrag ohne meine Zustimmung auf anderen Internetseiten als Vertragsmuster zum Download angeboten wird oder sich irgendwann in einem Vertragsmusterbuch wiederfindet.

Haftungsausschluss:

Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.