Weil die DSGVO einschließlich der Erwägungsgründe keine § 11 Abs. 5 BDSG vergleichbare Regelung enthält, wird zu diskutieren sein, wie im Falle einer allgemeinen Möglichkeit des Zugriffs auf personenbezogene Daten durch Dienstleister umgegangen werden muss. Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und einer Anwendung von Art. 28 DSGVO führen. Ist Auftragsgegenstand der (Fern)Wartung allerdings gerade der Umgang mit Datensätzen mit personenbezogenen Daten, so handelt es sich weiter um eine Auftragsverarbeitung nach Art. 28 DSGVO.

Bisherige Rechtslage

Nach den bisherigen Regelungen im Bundesdatenschutzgesetz unterliegt eine Fernwartung den Regelungen in § 11 BDSG zur Auftragsdatenverarbeitung. In § 11 Absatz 5 BDSG heißt es, dass die Absätze 1 bis 4 von § 11 entsprechend anzuwenden sind, wenn es um die Wartung von Datenverarbeitungsanlagen durch andere Stellen geht und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Es geht also nicht darum, ob ein unberechtigter oder berechtigter Zugriff auf personenbezogene Daten durch das Unternehmen im Rahmen der Fernwartung geschieht, sondern ob ein Zugriff möglich ist.
Dies führt aktuell dazu, dass faktisch fast alle Fernwartungsverträge den Regelungen zur Auftragsdatenverarbeitung unterliegen. Unternehmen im Anwendungsbereich des Bundesdatenschutzgesetzes müssen dann entsprechende Verträge zur Auftragsdatenverarbeitung abschließen. Weiterhin fordert der Gesetzgeber in § 11 Absatz 2 BDSG, dass der Auftragnehmer sorgfältig auszuwählen ist und dabei die von ihm getroffenen technischen und organisatorischen Maßnahmen näher betrachtet werden müssen. Der Auftraggeber soll auch am Beginn der Fernwartung und danach regelmäßig die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überprüfen. Im Gesetzestext wird der Begriff „überzeugen“ genutzt. Dies macht deutlich, dass ein gewisser Entscheidungsrahmen durchaus gewünscht und gewollt ist. Weiterhin verlangt der Gesetzgeber im Rahmen der Auftragsdatenverarbeitung, dass die Überprüfungen dokumentiert werden.

Neues durch die DSGVO

Hier ergeben sich mit der EU-Datenschutzgrundverordnung neue rechtliche Aspekte und auch Fragen. Die Auftragsdatenverarbeitung ist in Artikel 28 der DS-GVO geregelt.

In den Begriffsbestimmungen in Artikel 4 ist eine eigene Definition für den „Auftragsverarbeiter“ vorgesehen. Zukünftig heißt die Auftragsdatenverarbeitung nur noch Auftragsverarbeitung. Auftragsverarbeiter ist eine natürliche oder juristische Person. Es können auch Behörden, Einrichtungen oder andere Stellen Auftragsverarbeiter sein. Einzige Voraussetzung ist nach Artikel 4 Nr. 8 DS-GVO, dass die Einrichtung oder juristische Person die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Dabei geht die DS-GVO von einem sehr weiten und umfassenden Verarbeitungsbegriff aus. Verarbeiten ist beispielsweise das Auslesen, das Abfragen oder die Verwendung von personenbezogenen Daten.
Artikel 28 DS-GVO fordert, dass der Verantwortliche vom Auftragsverarbeiter ausreichende und hinreichende Garantien fordert, dass die notwendigen technischen und organisatorischen Maßnahmen im Einklang mit den Anforderungen der Verordnung genutzt werden. Es soll dabei wie bisher nicht nur am Beginn des Vertragsverhältnisses der Auftragsverarbeiter geprüft werden, sondern eine entsprechende Prüfung erfolgt auch während des Vertragsverhältnisses. Dies ergibt sich nicht direkt aus dem Wortlaut. Allerdings heißt es in Artikel 28 Absatz 1 DS-GVO, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeitet, die entsprechende Garantieren bieten. Aus der Formulierung und Forderung an die Zusammenarbeit ergibt sich, dass es sich dabei nicht um eine gesetzliche Anforderung nur für den Beginn des Vertragsverhältnisses handelt.

In Artikel 28 Absatz 3 wird festgelegt, dass die Verarbeitung nur auf Grundlage eines Vertrages oder eines anderen Rechtsinstrumentes erfolgen soll. Hier wird wie bisher ein gesonderter Vertrag zur Auftragsdatenverarbeitung abzuschließen sein.

Dokumentationspflicht für Auftragsverarbeiter

Die personenbezogenen Daten sollen im Übrigen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden. Hier entstehen neue Pflichten für den Auftragsverarbeiter.

Der Auftragsverarbeiter muss dokumentieren, dass er die Weisungen des Verantwortlichen einhält.

Haftungserweiterung für Auftragsverarbeiter

Weiterhin sieht die DSGVO Haftungserweiterungen für den Auftragsverarbeiter vor. Im Rahmen von potenziellen Schadensersatzansprüchen nach Artikel 82 DS-GVO können Betroffene auch direkt den Auftragsverarbeiter in Anspruch nehmen.

Auch die Verhängung von Geldbußen richtet sich gemäß Artikel 83 Absatz 4 DS-GVO direkt an den Auftragsverarbeiter. Hier verändert sich deutlich der bisherige „Schutz“, den die Auftragsverarbeiter nach den aktuellen Regelungen des Bundesdatenschutzgesetzes haben.

In Artikel 28 DS-GVO ist keine ausdrückliche Regelung zur Fernwartung vorgesehen. Insoweit stellt sich die Frage, ob Fernwartungsverträge nach wie vor eine Auftragsdatenverarbeitung sind? Aufgrund des weiten Begriffs der „Verarbeitung“, ist davon auszugehen, dass nur bei einer reinen technischen Wartung ohne Zugriff auf personenbezogene Daten keine Auftragsdatenverarbeitung und keine Anwendung des Artikels 28 DS-GVO vorliegt.

Wenn Gegenstand der Fernwartung der Umgang mit personenbezogenen Daten ist, so ist auch weiterhin von einer Auftragsdatenverarbeitung, oder im Wording der DS-GVO von einer „Auftragsverarbeitung“ nach Artikel 28 DS-GVO auszugehen.

Dies wird auch von einer Stellungnahme der Bayerischen Landesdatenschutzbehörde zum Thema Auftragsdatenverarbeitung nach der DS-GVO so bestätigt.