IT Service ist Auftragsverarbeitung nach DSGVO

Kategorie:
 | Autor: Alexander Rubinstein
IT Service ist Auftragsverarbeitung nach DSGVO

Hierüber gab es im Vorfeld des Inkrafttretens der DS-GVO durchaus unterschiedliche rechtliche Einschätzungen von Fachanwälten und auch der Datenschutzbehörden der Bundesländer. Wir haben deshalb für uns und unsere Kunden direkt beim Hamburgischen Beauftragten für Datenschutz angefragt und folgende Auskunft erhalten:

Bei IT-Serviceleistungen handelt es sich dann rechtlich um Auftragsverarbeitung, wenn die theoretische Möglichkeit besteht, dass die durchführenden Mitarbeiter Einblick in gemäß DS-GVO zu schützende personenbezogene Daten nehmen könnten. Und dies, obwohl Auftrag natürlich nur die Betreuung der IT-Systeme und nicht die tatsächliche Verarbeitung irgendwelcher Daten umfasst, wenn also ein Einblick in die Daten auch nur als Seiteneffekt der eigentlichen Arbeit möglich ist.

In der Antwort wurde auch auf ein Kurzpapier zum Begriff des Auftragsverarbeiters hingewiesen, dessen Lektüre allen ans Herz zu legen ist, die noch Zweifel haben, wann Auftragsverarbeitung besteht. Es handelt sich dabei um ein zwischen den Landesaufsichtsbehörden in Deutschland gemeinsam abgestimmtes Dokument; wir gehen davon aus, dass die Inhalte in der Praxis für die Durchführung der DS-GVO gültig sind.

Der relevante Absatz für IT-Service lautet wie folgt (Stand 05/2018):


Wartung und Fernzugriffe

Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung), die nicht zu einer Qualifikation des Dienstleisters als Auftragsverarbeiter und einer Anwendung von Art. 28 DS-GVO führen.

Wir zitieren hier noch die Antwort des zuständigen Fachreferenten des HmbBfDI im Volltext:

Unter folgendem Link finden Sie zunächst das mit den Landesaufsichtsbehörden der BRD abgestimmte Kurzpapier zum Begriff des Auftragsverarbeiters: https://www.datenschutz-hamburg.de/uploads/media/DSK_Kurzpapier_Nr_13_Auftragsverarbeitung.pdf

Daraus ergibt sich, dass ein Auftragsdatenverarbeitungsverhältnis anzunehmen ist, bei „Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

Vorliegend beschreiben Sie einen IT-Support, bei dem ein (Voll)Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, sodass nach übereinstimmender Auffassung der deutschen Aufsichtsbehörden von einem ADV-Verhältnis auszugehen sein wird.

Mit allen unseren Kunden schließen wir automatisch eine entsprechende Auftragsverarbeitungs-Vereinbarung.

Diesen Artikel weiterempfehlen: 

Warum SYMPLASSON für Sie die richtige Wahl ist:

  • HornetSecurity Gold Partner Logo
    "SYMPLASSON verfügt als Partner der ersten Stunde über einen wertvollen Erfahrungsschatz, umfassendes Wissen im Bereich der E-Mail-Sicherheit und tiefe Produktkenntnisse. In Projekten mit komplexen individuellen Anforderungen ist SYMPLASSON zu Hause und liefert uns immer wieder Erkenntnisse aus der Praxis, die uns bei der Weiterentwicklung und Qualitätssicherung sehr helfen. Die langfristige Kundenzufriedenheit mit SYMPLASSON ist beispielhaft. Wir möchten SYMPLASSON als starken Partner daher nicht missen!"
    Tassilo Totzeck, Partner Account Manager
    Hornetsecurity GmbH
  • Jadranko Injic
    "Die SYMPLASSON Informationstechnik GmbH ist ein langjähriger und loyaler Partner und überzeugt vor allem durch Expertise sowie Professionalität."
    Jadranko Injic, Territory Sales Manager Nord-Ost
    WatchGuard Technologies GmbH
  • Horst Müther, Managing Partner GCI Health
    "SYMPLASSON ist sei vielen Jahren eine feste Größe in unserem Arbeitsalltag: Stets zuverlässig und stets beispielhaft professionell. SYMPLASSON bietet uns für die ständig wachsenden IT-Anforderungen immer wieder Lösungen, die sich langfristig hervorragend bewähren."
    Horst Müther, Managing Partner
    GCI Health
    Unternehmensberatung für Kommunikation GmbH
  • Daniel Müller
    "Wir arbeiten seit 2019 mit SYMPLASSON zusammen und sind sehr zufrieden. Egal welchen Bereich es betrifft, die laufende IT-Betreuung, technische Herausforderungen, die Kaufberatung für Hard- und Software oder die Lizenzberatung – alles klappt, unsere Ziele stehen im Mittelpunkt und wir fühlen und rundum perfekt betreut!"
    Daniel Müller, Geschäftsführer
    Management Angels
  • Axel-Rüdiger Schmidt
    "Bereits seit 2007 unterstützt SYMPLASSON das BG Klinikum Hamburg in der Bewältigung der täglichen IT-Aufgaben. Ob im Bereich IT-Sicherheit, Firewall, Netzwerk, Softwareverteilung, Hardwarebeschaffung oder Erarbeitung zukunftsorientierter Lösungen. Stets werden die Ziele erreicht und wir fühlen uns hervorragend, kompetent beraten und unterstützt. Mit Device Control von Endpoint Protector, der Konzeption, Umsetzung und Betreuung durch SYMPLASSON sind wir vollauf zufrieden. Wir haben die Kontrolle über alle Geräte und Schnittstellen und können das Ein- und Ausschleusen von Daten sehr granular regulieren."
    Axel-Rüdiger Schmidt
    BG Klinikum Hamburg gGmbH
Abonnieren Sie jetzt einfach und kostenfrei unseren SYM-Newsletter!
Arbeiten bei SYMPLASSON? Bewerben Sie sich jetzt auf eine unserer attraktiven Stellenausschreibungen!  
anschauen >
©2024 | SYMPLASSON Informationstechnik GmbH

Cloudservice

Development

IT-Magazin