Datenschutz-Tipp: Datenschutz bei der Wartung & Pflege von IT-Systemen (inkl. Mustervertrag)

Datenschutz

Viele von Ihnen kennen vielleicht meine Sonderseite zum Thema Auftragsdatenverarbeitung. Dort findet sich u.a. ein Mustervertrag zur Auftragsdatenverarbeitung, der sich mittlerweile einiger Beliebtheit erfreut. Das Muster ist recht umfangreich, was einfach daher kommt, dass die gesetzlichen Anforderungen im Hinblick auf § 11 BDSG recht weitgehend sind.

Es gibt jedoch ein Problem mit diesem Mustervertrag: Wie Sie vielleicht wissen, finden die Regelungen zur Auftragsdatenverarbeitung auch dann Anwendung, wenn der Auftragnehmer lediglich die Wartung und/oder Pflege von IT-Systemen durchführt. Wie ich weiß, sind einige von Ihnen selbst IT-Dienstleister und führen in diesem Zusammenhang regelmäßig auch IT-Wartungen für Ihre Kunden durch. Und viele andere von Ihnen wiederum lassen ihre IT-Systeme von externen Dienstleistern warten.

Oftmals passen dann die Regelungen eines umfangreichen Auftragsdatenverarbeitungsvertrag nicht so ganz für die Wartungsarbeiten, die ein externer Dienstleister durchführen soll. Eine Wartung von IT-Systemen läuft eben doch anders ab als eine klassische Auftragsdatenverarbeitung, bei der der externe Dienstleister standardmäßig in seinen eigenen Büroräumen Daten des Auftraggebers verarbeitet oder nutzt.

Es sollte allerdings nicht vergessen werden, dass der Gesetzgeber sich zu Recht über das Thema „Wartung“ Gedanken gemacht hat und entsprechend auch hier die Regelungen für die Auftragsdatenverarbeitung verpflichtend vorsieht. Denn ein externer IT-Dienstleister erhält häufig in recht hohem Umfang Kenntnis von personenbezogenen Daten, die bei seinem Kunden auf dessen IT-Systemen gespeichert sind. Hier reicht eine einfache Verpflichtung auf das Datengeheimnis in der Praxis nicht aus.

Das „Gefährdungspotenzial“ steigert sich noch einmal erheblich, wenn der IT-Dienstleister die Wartungsarbeiten per Fernwartung durchführt. Hier kann dann noch einmal unterschieden werden zwischen einer „stillen“ Fernwartung und einer Fernwartung „auf Zuruf“. Die Art und Weise der Fernwartung sollte zwischen den Parteien unbedingt vertraglich festgehalten werden.

Ein besonderes Risiko gibt es dann noch im Bereich von so genannten Berufsgeheimnissen. Wir alle kennen die ärztliche Schweigepflicht und wissen, dass ein Bruch der ärztlichen Schweigepflicht strafbar ist (§ 203 StGB). Das Strafrecht schützt jedoch nicht nur vor unbefugten Kenntnisnahme von Daten, die der ärztlichen Schweigepflicht unterliegen. Gleichermaßen betrifft dies auch andere Berufsgruppen wie zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Psychologen und auch Beschäftigte bei Kranken-, Unfall-oder Lebensversicherungen.

Wie ich aus meiner Mandatspraxis weiß, finden auch in diesen Bereichen, bei denen es um Daten von Berufsgeheimnisträgern geht, im großen Umfang IT-Wartungen statt. Das ist zunächst auch nichts schlechtes, denn schließlich ist es für die Integrität und den Schutz der Daten in vielen Fällen ratsamer, die IT-Systeme, auf denen die Daten verarbeitet werden, durch externe Fachleute warten zu lassen. Dennoch kommt es immer noch sehr häufig vor, dass in diesen Bereichen keine ausreichenden vertraglichen Regelungen oder technischen Vorkehrungen dafür getroffen werden, um die strafrechtlichen Risiken zu minimieren.

Häufig ist den Berufsgeheimnisträgern noch nicht einmal bekannt, dass schon die Kenntnisnahme von Daten durch einen externen Dienstleister eine unbefugte Offenbarung eines Geheimnisses im Sinne des § 203 StGB darstellen kann.

Es macht daher Sinn, entsprechende Wartungsverhältnisse vernünftig zu regeln. An entsprechenden Wartungsverträgen, aus denen die Rechte und Pflichten der Vertragsparteien zu entnehmen sind, fehlt es häufig in der Praxis nicht. Hier hat der Dienstleister zumindest meist entsprechende AGB, wo sich Regelungen zu den Leistungen und Leistungsstörungen und zur Haftungsbeschränkung des Dienstleisters finden lassen. In den meisten AGB finden sich jedoch nicht die Regelungen, die nach § 11 Abs. 2 BDSG erforderlich sind.

Ich habe daher versucht, einmal eine entsprechende Datenschutzvereinbarung zu erstellen, die als Anlage zu einem Wartungsvertrag abgeschlossen werden kann, um die Vorgaben des § 11 BDSG in der Praxis zu erfüllen.

Den Mustervertrag und weitere Informationen finden Sie hier.

Denken Sie bitte in der Praxis daran, dass neben einem Auftragsdatenverarbeitungsvertrag vor allem auch vor der Auftragserteilung vom Auftraggeber geprüft werden muss, ob der Auftragnehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen hat.

Sowohl ein fehlender oder fehlerhafter Auftragsdatenverarbeitungsvertrag als auch die unterlassene Vorab-Prüfung können eine Ordnungswidrigkeit darstellen und nach § 43 Abs. 1 2b) BDSG mit einem Bußgeld von bis zu 50.000 € geahndet werden.

Laden Sie sich doch einfach den kostenlosen Mustervertrag „Datenschutzvereinbarung Wartung & Pflege von IT-Systemen“ (.docx) auf nachfolgender Internetseite herunter:

http://www.datenschutz-guru.de/wartungsvertrag/

Ich freue mich, wenn Ihnen der Vertrag gefällt. Sie dürfen ihn gerne ändern und vor allem verbessern. Genau dazu ist er da.

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie hier kostenlos abonnieren können.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.