Hierüber gab es im Vorfeld des Inkrafttretens der DS-GVO durchaus unterschiedliche rechtliche Einschätzungen von Fachanwälten und auch der Datenschutzbehörden der Bundesländer. Wir haben deshalb für uns und unsere Kunden direkt beim Hamburgischen Beauftragten für Datenschutz angefragt und folgende Auskunft erhalten:
Bei IT-Serviceleistungen handelt es sich dann rechtlich um Auftragsverarbeitung, wenn die theoretische Möglichkeit besteht, dass die durchführenden Mitarbeiter Einblick in gemäß DS-GVO zu schützende personenbezogene Daten nehmen könnten. Und dies, obwohl Auftrag natürlich nur die Betreuung der IT-Systeme und nicht die tatsächliche Verarbeitung irgendwelcher Daten umfasst, wenn also ein Einblick in die Daten auch nur als Seiteneffekt der eigentlichen Arbeit möglich ist.
In der Antwort wurde auch auf ein Kurzpapier zum Begriff des Auftragsverarbeiters hingewiesen, dessen Lektüre allen ans Herz zu legen ist, die noch Zweifel haben, wann Auftragsverarbeitung besteht. Es handelt sich dabei um ein zwischen den Landesaufsichtsbehörden in Deutschland gemeinsam abgestimmtes Dokument; wir gehen davon aus, dass die Inhalte in der Praxis für die Durchführung der DS-GVO gültig sind.
Der relevante Absatz für IT-Service lautet wie folgt (Stand 05/2018):
Wartung und Fernzugriffe
Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung), die nicht zu einer Qualifikation des Dienstleisters als Auftragsverarbeiter und einer Anwendung von Art. 28 DS-GVO führen.
Wir zitieren hier noch die Antwort des zuständigen Fachreferenten des HmbBfDI im Volltext:
Unter folgendem Link finden Sie zunächst das mit den Landesaufsichtsbehörden der BRD abgestimmte Kurzpapier zum Begriff des Auftragsverarbeiters: https://www.datenschutz-hamburg.de/uploads/media/DSK_Kurzpapier_Nr_13_Auftragsverarbeitung.pdf
Daraus ergibt sich, dass ein Auftragsdatenverarbeitungsverhältnis anzunehmen ist, bei „Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“
Vorliegend beschreiben Sie einen IT-Support, bei dem ein (Voll)Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, sodass nach übereinstimmender Auffassung der deutschen Aufsichtsbehörden von einem ADV-Verhältnis auszugehen sein wird.
Mit allen unseren Kunden schließen wir automatisch eine entsprechende Auftragsverarbeitungs-Vereinbarung.