DSGVO und Auftragsdatenverarbeitung, Teil I: Was geschieht mit dem § 11 Abs.5 BDSG – Liegt ein Fall der Auftragsverarbeitung auch dann vor, wenn nur eine Zugriffsmöglichkeit besteht?

Das Interesse der IT-Branche konzentriert sich insbesondere auf die Fragestellung, wie die Auftrags- datenverarbeitung unter der DSGVO aussieht.

Dieser Beitrag richtet sich vermehrt an Unternehmen, die im Rahmen von Support-bzw. Softwarepflegeverträgen per Remote auf IT-Systeme des Kunden zugreifen bzw. im Rahmen von Cloud- Services selbst IT- Systeme für Kunden betreiben, und nicht selbst wie zum Beispiel Marktforschungsinstitute Daten verarbeiten.

Teil 1: Gilt der § 11 Abs.5 BDSG auch unter der DSGVO?

Die DSGVO wird mit Recht mit viel Kritik bedacht. Drakonischen Strafforderungen stehen unbestimmte Tatbestände entgegen, die im Laufe der Zeit durch die Behörden konkretisiert werden sollen. Normalerweise besagt das deutsche Verfassungsrecht, dass Strafen nur dann ausgesprochen werden können, wenn der Tatbestand konkret feststeht. Das ist bei der DSGVO nicht so. Eine dieser Unsicherheiten ist die Fragestellung, ob die bloße Möglichkeit des Zugriffs auf personenbezogene Daten in Zukunft weiterhin als Tatbestand der Auftragsdatenverarbeitung (in Zukunft nach Art. 28 DSGVO Auftragsverarbeitung genannt) qualifiziert werden muss. Gemäß Paragraf 11 Abs. 5 BDSG des BDSG, das bis zum 25. Mai 2018 in Kraft ist, gilt, dass die Möglichkeit des Zugriffs ausreicht, um von dem Tatbestand der Auftragsdatenverarbeitung erfasst zu sein, mit der Folge, dass Verstöße gegen die Regelung mit drakonischen Strafen belegt werden können.

Zwei Beispiele aus der Praxis:

On- premise- Lösungen:

Ihr Unternehmen hat eine Software erstellt, die auf einem IT- System des Kunden installiert wird. Ihr Unternehmen will nichts mit personenbezogenen Daten zu tun haben, die der Kunde mittels dieser Software verarbeitet, also erhebt, speichert, löscht etc. Es muss noch nicht mal so sein, dass Ihre Software selbst die Verarbeitung irgendwelcher personenbezogenen Daten ermöglicht oder zum Ziel hat. Ausreichend ist alleine die Möglichkeit des Zugriffs auf Systeme, auf denen personenbezogene Daten gespeichert sind und die sich in der Sachherrschaft des Kunden befinden. Schon dann sind Sie nach der aktuellen Rechtslage dazu verpflichtet, den gesamten Maßnahmenkatalog der Auftragsdatenverarbeitung zu realisieren.

Cloud Lösungen:

Sie stellen dem Kunden ein IT- System im Wege des Hostings zur Verfügung, wobei der Kunde alleine für die Bereiche der Anwendungssoftware und der Datensicherung verantwortlich ist. Die Anwendungssoftware des Kunden wird dazu eingesetzt, personenbezogene Daten zu verarbeiten.

Bedeutet jetzt die Möglichkeit, dass ein IT-System ausfallen kann und damit die Gefahr einer Löschung personenbezogener Daten einhergeht, dass der Cloud- Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO zu qualifizieren ist oder dass Sie durch das System Zugriffsmöglichkeiten hätten?

Die Antwort auf diese Frage ist für die Praxis sehr wichtig!

Lösungen:

Es gibt keine juristisch eindeutige Lösung für dieses Problem. Die DSGVO ist eine europäische Regelungsmaterie, so dass man nicht aus dem Wegfall des § 11 Abs. 5 BDSG einfach schließen kann, der Gesetzgeber habe eine Regelung aus dem Gesetz gestrichen und ergo gelte diese in Zukunft nicht mehr (unter Juristen argumentum e contrario genannt).  Die Lösung wird ganz wesentlich davon abhängen, wie der Begriff der Verarbeitung im Art. 4 Nr. 2 der DSGVO zu verstehen ist. Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten des Verantwortlichen verarbeitet. Was Verarbeitung ist, steht im Art. 4 Nr.8 DSGVO.

Dort steht, dass Verarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen, oder die Vernichtung“ ist. Man kann sich mit Fug und Recht fragen, welche Form einer Nutzung personenbezogener Daten eigentlich nicht unter diesen Begriff fällt. Herr Tribess sagt, dass schon die Verwendung eines Screenshots einer Anwendungssoftware, auf der dann personenbezogene Daten zu sehen sind, ausreiche, um den Begriff der Verarbeitung zu erfüllen. Und mir ist unklar, wie ein IT- Unternehmen allein schon Datenmigrationen aus dem Produktivsystem oder einen Test des Produktivsystems vornehmen will, ohne dass eine Verarbeitung im Sinne der DSGVO vorliegt. Im Prinzip darf man nur noch mit Testdaten arbeiten oder mit anonymisierten Daten, damit man nicht in den Bereich der Auftragsverarbeiter fällt.

Lösung Fall 1:

Für die Hersteller von Software, die personenbezogene Daten verarbeiten, hängt die Antwort auf die Frage also ganz maßgeblich davon ab, ob man die Technik so konfigurieren kann, dass eine Verwendung personenbezogener Daten ausgeschlossen ist.

Lösung Fall 2:

Zumindest aber diejenigen IT- Unternehmen, die nur technische Systeme betreiben, die dort gespeichert sind, wo andere technische Systeme personenbezogene Daten verarbeiten, können anscheinend aufatmen. Es handelt sich also zum Beispiel um Software, die selbst keine personenbezogenen Daten verarbeitet, sondern nur dort installiert wird, wo sich zum Beispiel ein Outlook befindet. Die Möglichkeit des Zugriffs, wie sie im Wortlaut des § 11 Abs. 5 BDSG aufgeführt ist, ist nicht im Art. 4 Nr. 2 DSGVO enthalten.

Lösung Abstrakt:

Die faktische Möglichkeit eines Zugriffs reicht nicht mehr aus. Werden aber personenbezogene Daten verarbeitet, wobei der weite Begriff des Art. 4 Nr. 2 DSGVO heranzuziehen ist, liegt eine Auftragsverarbeitung vor.

Aber:

Wie genau das Problem in Deutschland Hand zu handhaben ist, wissen wir nicht. Denn es kommt im Wesentlichen darauf an, wie die Behörden die Rechtsfragen auslegen. Und man kann auch nicht, wie in der Vergangenheit, der Behörde das Problem vorlegen, mit der Bitte, eine Stellungnahme abzugeben. Wie das Kartellrecht (das war tatsächlich das Modell) stellt die DSGVO die Haftung und Verantwortung der Betroffenen in den Vordergrund. Die Behörde selbst haftet nie, entscheidet aber im Falle eines Verstoßes über die Höhe der Bußgelder. Man wird sehen, wie die nächsten Jahre die Juristen im Übermaß beschäftigen.

Denn das droht:

Teil II – Haftung:

Weitere Beiträge

AÜG in der IT 2024 Teil I

AÜG in der IT – Überlegungen Die Schwierigkeiten sind bekannt. Das Arbeitnehmerüberlassungsgesetz passt nicht für die Belange der IT Branche. Arbeitet ein Mitarbeiter eines IT Unternehmens dauerhaft für einen bestimmten Kunden und ist dieser in den Betrieb und die Betriebsorganisation

Mehr lesen »

Die KI-Verordnung  2024/ Teil I

Gleich zu Beginn ein Hinweis: Es gibt im Netz schon eine große Anzahl von Hinweisen zur neuen KI Verordnung (KI-VO oder AI act). Da ich diese Blogs nun nicht aus wissenschaftlichem Interesse sondern aus der Perspektive der IT Unternehmen schreibe,

Mehr lesen »
Nach oben scrollen