Fernzugriff und Fernwartung – Achtung Auftragsverarbeitung nach Art. 28 DSGVO

  • Fernzugriff und Fernwartung – Achtung Auftragsverarbeitung nach Art. 28 DSGVO

    Seit dem 25.05.2018 gilt für alle EU-Mitgliedsstaaten die Datenschutzgrundverordnung. Durch diese soll ein grundsätzlich einheitlicher und verbindlicher Schutz von personenbezogenen Daten erreicht werden.  Bußgelder können je nach Verstoß bis zu 20 Millionen Euro bzw. 4 % des Jahresumsatzes betragen. Am 22.10.2018 wurde auf dieser Grundlage in Portugal das erste Bußgeld in nennenswerter Höhe (400.000,00 €) von der zuständigen portugiesischen Datenschutzbehörde CNPE verhängt. Neben anderen Verstößen wurde dieses Bußgeld auch verhängt, weil Techniker über den Fernzugriff die Möglichkeit hatten, personenbezogene Daten einzusehen, ohne dass dies für ihre eigentliche Tätigkeit notwendig gewesen wäre. Konkret ging es dabei um Patientendaten eines Krankenhauses, also besonders schützenswerte Daten, was auch die deutliche Höhe des festgesetzten Bußgeldes rechtfertigen dürfte.

     

    Neben der Erkenntnis, dass Verstöße gegen die DSGVO tatsächlich mit Bußgeldern in empfindlicher Höhe geahndet werden, zeigt sich, dass die „Schonfrist“ zur Umsetzung der DSGVO abgelaufen ist und die Aufsichtsbehörden nicht nur die klassischen Bereiche der Datenverarbeitung in den Blick nehmen, sondern auch weniger im Bewusstsein verhaftete Vorgänge, wie etwa Fernwartung von Servern oder Videoanlagen.

     

    Sobald eine Verarbeitung personenbezogener Daten durch einen außerhalb des Unternehmens stehenden Dritten weisungsgebunden stattfindet, ist dieser als Auftragsdatenverarbeiter nach Art. 28 DSGVO anzusehen. Es ist dann ein entsprechender Auftragsdatenverarbeitungsvertrag abzuschließen, der die Rechte und Pflichten sowie die Kontrollmöglichkeiten der Beteiligten regelt. Ob insoweit, wie bereits vor dem Inkrafttreten der Datenschutzgrundverordnung, die „Möglichkeit der Kenntnisnahme“ für das Vorliegen einer relevanten Auftragsverarbeitung ausreicht (§ 11 Abs. 5 BDSG a.F.) oder darüber hinaus tatsächlich „verarbeitende Schritte im engeren Sinne“ notwendig sind, ist bislang noch nicht abschließend geklärt. Auf Grund der weiten Definition des Begriffs der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO spricht einiges dafür, dass bereits die bloße Möglichkeit der Kenntnisnahme ausreichen könnte.

     

    Auch die Datenschutzkonferenz der Länder sieht die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Supportarbeiten in Systemen des Auftraggebers) als klassische Felder der Auftragsverarbeitung an. Nur wenn es sich um technische Wartungen an der Infrastruktur, etwa Arbeiten an der Stromzufuhr, Kühlung oder Heizung handelt, führt dies in der Regel wohl nicht zu der Annahme einer Auftragsverarbeitung.

     

    Insoweit empfiehlt es sich, das eigene Unternehmen stets darauf zu überprüfen, ob und an welcher Stelle eine Einsichtnahme in personenbezogene Daten auch von außen möglich ist. Dabei dürfen auch die nur peripher beteiligten Vorgänge wie (Fern-)Wartungsarbeiten nicht aus dem Blick geraten. Im Zweifel sollte umgehend fachkundige Unterstützung eingeholt werden, um die sowohl technisch als auch juristisch nicht immer leicht zu beurteilenden Vorgänge zu erkennen und die notwendigen Maßnahmen zu ergreifen.