Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Fernwartung und Datenschutz

19.01.2010 | Datenschutz und IT-Sicherheit | Pflegeverträge | von Carsten Gerlach

Nach § 11 Abs. 5 BDSG gilt die Fernwartung von IT-Systemen oder Software als Auftragsdatenverarbeitung, wenn dabei ein Zugriff auf personenbezogene Daten im gewarteten System nicht ausgeschlossen werden kann. Dies hat Konsequenzen für die Vertragsgestaltung und führt zu laufenden Kontrollpflichten des Auftraggebers.

Fernwartung = Auftragsdatenverarbeitung


Nach § 11 Abs. 5 BDSG liegt Auftragsdatenverarbeitung vor, "wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann".

Das heißt: kann über einen Remote-Zugang im Rahmen der Wartung und Pflege auch auf personenbezogene Daten des Auftraggebers zugegriffen werden (z.B. weil die Datenbestände des Auftraggebers im Rahmen der Wartung zugänglich sind), liegt Auftragsdatenverarbeitung vor. Die meisten Wartungsverträge begründen daher ein Auftragsdatenverarbeitungsverhältnis im Sinne des BDSG.

Anforderungen an den Wartungsvertrag nach der BDSG-Novelle


Zum 1.9.2009 ist § 11 Abs. 2 BDSG neugefaßt worden. Der novellierte § 11 Abs. 2 BDSG regelt Anforderungen an die Inhalte von Verträgen, mit denen Auftragsdatenverarbeitungsverhältnisse begründet werden. Das bedeutet: § 11 Abs. 2 BDSG ist idR auch auf Pflegeverträge mit einer Fernwartungskomponente anwendbar.

Nach § 11 Abs. 2 BDSG ist im schriftlichen Vertrag insbesondere festzulegen:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Datenschutz- und Datensicherungs-Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber sollte darauf bestehen, daß diese Punkte im Wartungsvertrag aufgeführt und geregelt sind. Verstöße gegen § 11 Abs. 2 BDSG sind gemäß § 43 Abs. 1 Nr. 2b BDSG Ordnungswidrigkeiten und können mit Bußgeldern von bis zu 50.000,- Euro geahndet werden.

Laufende Kontroll- und Überwachungspflichten


Nach § 11 Abs. 2 BDSG ist der Auftraggeber zudem verpflichtet, sich vor Beginn der Fernwartung und auch danach regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Datenschutz- und Datensicherungsmaßnahmen zu überzeugen. Das Ergebnis dieser Kontrollen ist zu dokumentieren.

Das heißt, das sowohl eine "Erstkontrolle" vor Beginn der Tätigkeit des Auftragnehmers als auch spätere, anlaßunabhängige Nachkontrollen durchgeführt werden müssen. Die Intervalle der Nachkontrollen kann der Auftraggeber nach eigenem, pflichtgemäßen Ermessen bestimmen.

Auch Verstöße gegen die Kontroll- und Überwachungspflichten sind gemäß § 43 Abs. 1 Nr. 2b BDSG Ordnungswidrigkeiten und können mit Bußgeldern von bis zu 50.000,- Euro geahndet werden.

28.03.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck