D: IT-Wartungsverträge und Datenschutz
Rubrik: NachrichtenK. Schiefer - 2B Advice GmbH - the privacy benchmark
IT-Wartungsverträge stellen zwar keine Auftragsdatenverarbeitung dar, müssen jedoch trotzdem inhaltlich die gleichen Regelungen zum Datenschutz enthalten.
In beinahe jedem Unternehmen wird heute eine mehr oder weniger große IT-Landschaft existieren. Soweit es eine interne IT-Abteilung gibt, wird diese die Wartung weitestgehend selbst übernehmen, in vielen Firmen lässt man entsprechende Arbeiten jedoch durch spezialisierte externe Unternehmen durchführen. Schließlich kann es selbst bei Firmen mit eigener IT-Abteilung vorkommen, dass manche Aufgaben an sehr komplexen Systemen wie bspw. SAP von externen Firmen übernommen werden.
In allen Fällen, in denen externe Unternehmen mit derartigen Aufgaben betraut sind, wird ein entsprechender Wartungsvertrag existieren, der Rechte und Pflichte der Vertragsparteien festlegt. Hier ist zu beachten, dass in all diesen Fällen Dritte in Hilfsfunktion und nach Weisung des Auftraggebers mit Daten des Unternehmens arbeiten. Es erscheint daher möglich, Wartungsaufgaben als eine Auftragsdatenverarbeitung nach § 11 BDSG einzuordnen. Dies hätte zur Folge, dass in all diese Verträge umfangreiche Regelungen zum Datenschutz nach § 11 BDSG aufgenommen werden müssten.
Wartungsverträge sind jedoch nicht als Auftragsdatenverarbeitung zu qualifizieren, selbst wenn das Unternehmen während dieser Tätigkeiten personenbezogene Daten beiläufig zur Kenntnis nimmt. Wartungs- und Serviceaufgaben sind vielmehr in § 11 Abs. 5 BDSG geregelt, unabhängig davon ob es sich um eine Wartung vor Ort oder eine Fernwartung handelt. Entscheidend ist nur, dass die Aufgaben von einer „externen Stelle“ wahrgenommen werden.
Die Folge von § 11 Abs. 5 BDSG ist die Anwendbarkeit von § 11 Abs. 1-4 BDSG auf IT-Wartungsverträge. Damit müssen solche Verträge exakt die gleichen Regelungen im Hinblick auf den Datenschutz enthalten wie dies bei einer Auftragsdatenverarbeitung der Fall wäre. Mit Blick auf die Folgen ist die datenschutzrechtliche Einordnung von IT-Wartungsverträgen also nicht von großer Bedeutung.
Unternehmen, die Teile ihrer oder die gesamte IT-Landschaft durch externe Dienstleister warten lassen, muss daher dazu geraten werden, die entsprechenden Wartungsverträge sorgfältig auf Vollständigkeit der datenschutzrechtlichen Regelungen nach § 11 BDSG zu prüfen. Sollten die danach geforderten Klauseln nicht enthalten sein, ist es dringend erforderlich, diese möglichst rasch aufzunehmen.
(3339 mal gelesen)
