IT-Wartung durch externe Dienstleister - Das sind die DSGVO Fallen & Konsequenzen!

IT-Wartung durch externe Dienstleister

Achtung vor der Datenschutz-Falle!

Um eingesetzte IT-Systeme in Hotels oder gastronomischen Einrichtungen auf dem aktuellen Stand der Technik & Sicherheit halten zu können, sind diese in regelmäßigen Abständen zu warten und auf Sicherheitslücken hin zu überprüfen. Ob Hauptserver, Workstations, ausgegebene Laptops für Home-Office-Tätigkeiten oder Sicherheitssoftware zur Abwehr von Cyberkriminalität - IT-Wartungen sind notwendig, um ein gewisses Maß an Datensicherheit im Betriebssystem gewährleisten zu können. In der Regel werden solche Tätigkeiten an externe IT-Spezialisten übertragen.

Hierbei ist allerdings das Thema Datenschutz zu beachten! Hintergrund ist, dass auch bei der Wartung oder Pflege von IT-Systemen eine „Verarbeitung“ von personenbezogenen Daten im Auftrag vorliegen kann. Um nicht ungewollt in die DSGVO Falle zu tappen, sollten die folgenden Tipps in diesem Blogartikel unbedingt beachtet werden.


Vorsicht vor der Datenschutz-Falle! (pixabay)

Fallstrick „Auftragsdatenverarbeitung“ nach DSGVO

Zahlreichen Unternehmern & Unternehmerinnen kommt es selten in den Sinn, dass eine ausgelagerte IT-Wartung oder Reparatur irgendetwas mit dem betrieblichen Datenschutz zu tun haben könnte. Auf eine Art und Weise auch durchaus verständlich. Schließlich stehen Hardware oder Software im Fokus der Tätigkeiten und nicht personenbezogene Daten von möglichen Gästen oder Mitarbeitern. Jedoch wird hierbei eine Sache gerne übersehen: Fachleute, die Wartungsarbeiten an IT-Systemen durchführen, egal ob vor Ort oder mittels Fernwartung, könnten rein theoretisch Zugriff auf personenbezogene Daten haben bzw. erhalten, die z.B. auf den Servern gespeichert sind. Dies kann wiederum zu einem nicht unerheblichen Risiko führen, nämlich genau dann, wenn eine Auftragsverarbeitung festgestellt werden kann.

Es gibt Stimmen die behaupten, eine IT-Wartung hätte damit nichts zu tun und somit würde auch keine Auftragsdatenverarbeitung vorliegen. Allerdings kommt es, wie so häufig, immer auf den genauen Sachverhalt an. Denn laut dem Bundesdatenschutzgesetz (BDSG) liegt eine Auftragsdatenverarbeitung dann vor, sofern nicht ausgeschlossen werden kann, dass der Dienstleister, in dem Fall die externe IT-Firma, Einsicht bzw. Zugriff auf personenbezogene Daten hat.

Andernfalls ist ein fundierter Nachweis entscheidend. Aus ihm muss unmissverständlich hervorgehen, dass keine Auftragsverarbeitung vorliegt, weil z.B. ausschließlich an Systemen gearbeitet werden, auf denen sich keine Daten mit Personenbezug befinden und von dort aus auch kein Zugriff auf betroffene Systeme möglich ist. Ebenso kann ein Zugriff bzw. die Einsicht auf personenbezogene Daten auszuschließen sein, wenn eine wirksame Verschlüsselung vorliegt.

Mit der EU Datenschutzgrundverordnung (EU-DSGVO) ist die Thematik jedoch nochmals komplexer geworden. In der EU-DSGVO wird die IT-Wartung nicht wirklich geregelt, so dass Fachjuristen sowie Datenschutzexperten hierzu unterschiedliche Ansichten zum Sachverhalt vertreten. Solange es keine diesbezügliche, sauber geregelte Rechtsgrundlage gibt, sollte im Zweifel immer von einer Auftragsverarbeitung ausgegangen werden und ein Auftragsverarbeitungsvertrag zwischen Auftraggeber und Auftragnehmer abgeschlossen werden.


Datenschutz hat höchste Priorität! (pexels)

Was ist ein Auftragsvereinbarungsvertrag (AV) und wie ist dieser nach EU-DSGVO definiert?

Ein AV-Vertrag wird in Art. 28 der Datenschutzgrundverordnung (DSGVO) wie folgt definiert:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“.

Demnach ist ein AV-Vertrag abzuschließen, wenn eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer alleine oder gemeinsam über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das heißt, dass eine Auftragsverarbeitung in den Fällen vorliegt, in denen ein Verantwortlicher personenbezogene Daten im Auftrag verarbeiten lässt bzw. darauf Zugriff hätte. Da dies, wie schon erwähnt, nicht immer genau abzugrenzen bzw. auszuschließen ist, sollte im Zweifel bei einer IT-Reparatur bzw. Wartung ein Vertrag zur AV abgeschlossen werden.

Neben dem in diesem Blogbeitrag aufgegriffenen Beispiel der IT-Wartung bzw. Reparatur, gibt es darüber hinaus noch weitere Beispiele, bei denen ein Vertrag zur Auftragsverarbeitung abgeschlossen werden sollte bzw. muss:

  • Externe Lohnabrechnung oder Gehaltsabrechnung (keine Steuerberater)
  • Externe Buchhaltung
  • Online-Bezahldienste
  • Outsourcing des Rechenzentrums (ganz oder teilweise)
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingaktionen wie Newsletter, bei denen externe Tools verwendet werden
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen
  • Online Portale, die durch ihre Tätigkeit an Gästedaten des Unternehmers gelangen

Abschluss eines Wartungsvertrages als Option

Wenn keine definitive Auftragsverarbeitung vorliegt und ohne Zweifel ausgeschlossen werden kann, sollte zumindest ein Wartungsvertrag mit dem externen Dienstleister zur eigenen, unternehmerischen Sicherheit abgeschlossen werden. Der Wartungsvertrag ist eine notwendige Maßnahme, um entscheidende Regelungen treffen und die Risiken in Haftungsfällen als Auftraggeber minimieren zu können. Dieser ist schriftlich festzuhalten, welche Art von Wartung erfolgt und in welchem Umfang dies geschehen soll. Außerdem sollte der Wartungsvertrag einen eigenen Passus zur Vertraulichkeitsvereinbarung enthalten. Sollte sich der Auftragnehmer im Fall der Fälle nicht an die vertraglichen Vereinbarungen halten, könnte er dafür haftbar gemacht werden.


IT-Wartung durch externen Dienstleister (pixabay)

Fehlender AV-Vertrag - Das sind die Konsequenzen

Grundsätzlich gibt die DSGVO gesetzlich vor, dass ein Auftragsverarbeitungsvertrag zwingend erforderlich ist, wenn personenbezogene Daten durch Dritte verarbeitet werden bzw. werden könnten! Ohne die Sonderfälle noch einmal zu erwähnen, gilt also: Man sollte sich um einen AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl Auftragnehmer als auch Auftraggeber gleichermaßen. Nimmt man die AV-Verträge nicht ernst genug und es kommt zu einer Datenpanne, können ernsthafte Konsequenzen drohen. Empfindliche Bußgelder, Imageschaden und einhergehende Umsatzverluste können die schmerzlichen Folgen sein.

Am Beispiel eines Unternehmens aus Norddeutschland, wurde das Bußgeld für einen fehlenden AV-Vertrag und damit dem Verstoß gegen Art. 28 Abs. 3 DSGVO auf € 5.000,00 durch den zuständigen Landesdatenschutzbeauftragten festgelegt.

Was heißt das jetzt für Sie als Hotelier & Gastronom?

Schauen Sie als Hotelier oder Gastronom genau hin, in welchen Fällen eine Auftragsverarbeitung durch externe Anbieter in Ihrem Unternehmen vorliegen könnten. Im Zweifel ist immer davon auszugehen und noch notwendige Handlungsmaßnahmen zügig mit einem AV-Vertrag zu schließen.

  • Liegt eine Auftragsverarbeitung vor, muss dieser schriftlich geregelt werden.
  • Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Maßnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren – im Zweifel persönlich vor Ort beim Auftragnehmer, was aber in manchen Fällen schwer umsetzbar ist, aufgrund der möglichen, weiten Entfernung.
  • Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind SIE als Auftraggeber immer verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
  • Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist grundsätzlich nicht ausreichend!

Wer also externe Unternehmen beauftragt, die für die Ausführung ihrer Tätigkeiten Zugriff auf mögliche personenbezogene Daten von Gästen und MitarbeiterInnen erhalten könnte, muss sich um eine rechtssichere Vertragslage kümmern. Ein Auftragsverarbeitungsvertag muss dann zwingend geschlossen werden. Es sollte genau geprüft werden, welche Daten dies betrifft. Die Erstellung aber auch die Zeichnung eines AV-Vertrages sollte durch einen fachkundigen Anwalt oder einen ausgewiesenen Datenschutzbeauftragten genau geprüft werden, da auch hier so manche Fallstricke lauern können, die es im Interesse des Unternehmers zu vermeiden gilt.

Herzlichst
Ihr Jan Schmidt-Gehring

Beitrag druckenBeitrag druckenBeitrag als PDF herunterladenBeitrag als PDF herunterladen
Dankeschön!

PS: Falls Ihnen der Beitrag nicht gefallen hat, interessiert uns der Grund natürlich besonders - denn wir möchten, dass Sie einen Nutzen aus diesem Blog ziehen. Und vielleicht können wir ja noch etwas aus Ihrem Feedback lernen?

Sie finden diesen Beitrag interessant? Dann sagen Sie es doch weiter!