Eine „Verarbeitung“ von personenbezogenen Daten ist in Art. 4 Nr. 2 DSGVO legaldefiniert. Danach ist eine Verarbeitung jeder
mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Unabhängig von den auch sonst schwierigen Abgrenzungsfragen zu einer Auftragsverarbeitung (dazu hier mehr) ist bei einer Wartung und Pflege von IT-Systemen wie z.B. bei klassischen IT-Dienstleister-Tätigkeiten zu fragen, ob schon eine „Verarbeitung“ vorliegt oder nicht. Das erkläre ich auch in diesem Video hier noch einmal näher:
Richtigerweise wird von Teilen der rechtswissenschaftlichen Literatur vertreten, dass eine Auftragsverarbeitung nicht schon dann vorliegt, wenn lediglich die Möglichkeit der Kenntnisnahme von personenbezogenen Daten besteht.
Wenn ein IT-Dienstleister also z.B. nur den konkreten Auftrag der Prüfung hat, ob ein Backup erfolgreich abgeschlossen wurde und dies nicht die Einzelsichtung von Datei oder Datenbankinhalten beinhaltet, dann wird man nicht von einer „Verarbeitung“ und damit auch keiner Auftragsverarbeitung ausgehen müssen. Ein entsprechender Auftragsverarbeitungsvertrag wäre dann auch entbehrlich.
Das bedeutet nicht, dass man nicht zusätzlich ggf. Vereinbarungen zum Datenschutz treffen sollte. Hierzu gibt es übrigens für Datenschutz-Coaching-Mitglieder im „Downloads & Muster“-Bereich entsprechende Vorlagen. Aber es muss nicht gleich mit Kanonen auf Spatzen geschossen werden, wenn wir den Auftragsverarbeitungsvertrag hier mal mit einer „Kanone“ gleichsetzen würden.
Wenn ein IT-Dienstleister aber z.B. auch den Auftrag hat, Benutzer im Active-Directory anzulegen oder Rechte einzuräumen u.ä., dann wird dies nach meinem Dafürhalten dann schon eine „Verarbeitung“ im Auftrag darstellen. In diesen Fällen ist dann ein Auftragsverarbeitung nach Art. 28 DSGVO abzuschließen.
Dieser darf aber in diesen Konstellationen durchaus etwas kürzer als vielleicht üblich ausfallen.
Und dazu stelle ich kostenfrei nachfolgendes Muster auf Basis der DSGVO zur Verfügung. Das Muster ist so gestaltet, dass es eine gute Ausgangsgrundlage für gängige Fälle von Wartungen von IT-Systemen sein sollte.
Im Gegensatz zu früheren Versionen sind hier schon alle wesentlichen Punkte für ein klassisches Anwendungsszenario einer IT-Wartung vorausgefüllt. Auch für die erforderlichen technischen und organisatorischen Maßnahmen (TOM) wird hier eine Variante gewählt, bei der der Auftraggeber ein Mindestmaß an Maßnahmen vorgibt. Der Auftragnehmer muss hier dann jeweils schauen, ob er diese Maßnahmen erfüllt und ggf. Anpassungen oder Streichungen vornehmen. So kommt man in der Praxis recht schnell zu einem ordentlichen Vertragsschluss.
Das bedeutet natürlich für den Auftraggeber nicht, dass man den Auftragnehmer nicht sorgfältig vor der Beauftragung prüfen sollte. Ich kann gerade im Bereich der IT-Dienstleister nur empfehlen, mal genauer hinzuschauen, wie der Dienstleister im Bereich der Datensicherheit so aufgestellt ist. Schließlich erhält der Dienstleister ggf. Zugangsdaten zu IT-Systemen des Auftraggebers. Und diese sind besonders gesichert zu verwahren.
Nutzungsregeln:
Urheber für das nachfolgende Muster eines Vertrages einer Datenschutzvereinbarung zur Wartung und Pflege von IT-Systemen bin ich: Rechtsanwalt Stephan Hansen-Oest
Der Vertrag kann kostenlos verwendet werden. Auch Änderungen an dem Vertrag sind ohne Zustimmung von mir erlaubt.
Es ist zudem erlaubt, etwaige Hinweise zum Urheber im Vertragsdokument zu entfernen.
Nicht erlaubt ist jedoch die gewerbliche Nutzung dergestalt, dass der Vertrag ohne Genehmigung von mir als Vertragsmuster für gewerbliche Zwecke in Online- oder Printmedien vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wird.
Haftungsausschluss:
Der Vertrag muss für die Anwendung im Einzelfall angepasst werden. Das Vertragsmuster stellt lediglich einen Vorschlag für eine vertragliche Regelung dar. Es wird dringend empfohlen, den Vertrag im Einzelfall anwaltlich anpassen und prüfen zu lassen. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung im Einzelfall. Es wird keine Haftung für Schäden durch die Verwendung des Vertragsmusters übernommen.
- Und hier ist der Vertrag:
- Neueste Version: Datenschutzvereinbarung zur Wartung und Pflege von IT-Systemen – Word-Dokument (.docx)