Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Nummer 15.5 Teleservice

8.03.2010 | EVB-IT Systemlieferung | von Norman Müller


« Nummer 15.4.3 | Inhaltsverzeichnis | Nummer 15.6 »


Der Begriff des "Teleservice" beschreibt die Leistungserbringung über einen Remotezugang.

 

Ein solcher Zugang darf dem Auftragnehmer aus Gründen der IT-Sicherheit und ggf. auch des Datenschutzes nur unter engen Voraussetzungen gewährt werden. Neben technischen Restriktionen gehört dazu auch der Abschluss einer Vereinbarung über die Art und die Ausgestaltung des Zugangs. In dieser Nummer 15.5 des EVB-IT Systemlieferungsvertrags kann eine entsprechende "Teleservicevereinbarung" einbezogen werden.

 

 

Das in den Nutzerhinweisen zu den EVB-IT Systemlieferung befindliche Muster für eine solche Teleservicevereinbarung ist  i. d. R. nicht ausreichend. Dies insbesondere dann, wenn der Auftragnehmer möglicherweise Zugang zu personenbezogenen Daten erhält.


In diesen Fällen gelten insbesondere auch die seit 1. September 2009 geltenden Verschärfungen des Bundesdatenschutzgesetzes, insbesondere dessen § 11, der wegen seines Absatzes 5 auch für Fälle gilt, in denen ein Remote-Zugang zur Wartung gewährt wird. 


Die Regelung in § 11 BDSG lautet:

 

BDSG § 11 - Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
 
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
 
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
 
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
 
(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen,
b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38.
 
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

 


« Nummer 15.4.3 | Inhaltsverzeichnis | Nummer 15.6 »


19.04.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger, BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck