Warte mal mit der Wartung
PSP Case Study zur DSGVO: Praxisfall 27

DSGVO: Praktischer Fall

Die Huber AG hat bei der Maier GmbH eine Mehrplatz-Lizenz für eine Personalverwaltungssoftware erworben und dabei auch einen entsprechenden Wartungsvertrag abgeschlossen. Wenn im Rahmen der Wartung Fehler gemeldet werden, die für die Maier GmbH nicht nachvollziehbar sind, erhält der zuständige Programmierer der Maier GmbH einen Live-Bildschirmzugriff auf den PC des zuständigen Mitarbeiters der Personal-abteilung der Huber AG. Der zuständige Mitarbeiter der Huber AG kann dann das Problem „vorführen“ und kommentieren. Die Huber AG verlangt von der Maier GmbH den Ab-schluss einer Auftragsverarbeitungsvereinbarung, da die Maier GmbH durch diese „Vorführungen“ mit sensiblen Personaldaten der Huber AG in Berührung kommt und theoretisch auch einen „Screenshot“ der gezeigten Inhalte anfertigen könnte. Die Maier GmbH weigert sich, eine solche Auftragsverarbeitungsvereinbarung abzuschließen, da sie Software entwickelt und keine Daten der Huber AG im Auftrag verarbeitet. Die Huber AG überlegt, ob sie die Maier GmbH in ihren Pflichtinformationen für ihre Beschäftigten als „Empfänger“ für deren personenbezogene Daten angibt.

Das (zumindest in dieser Hinsicht) gute, alte BDSG enthielt vor dem Inkrafttreten der DSGVO in den Regelungen über die Auftragsverarbeitung (damals noch „Auftragsdatenverarbeitung“) einen Satz, wonach diese Regelungen entsprechend Anwendung finden,

„wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“.

Der Gesetzgeber war damals also zumindest der Meinung, dass nicht hinreichend sicher war, ob eine Software-Wartung nun eine Auftragsverarbeitung ist oder nicht, und ordnete vorsorglich die Anwendbarkeit der entsprechenden Regelungen an. Echte Methodiker werden natürlich sagen, dass der Gesetzgeber gerade davon ausging, dass Software-Wartung begrifflich keine Auftragsverarbeitung ist, denn sonst hätte es der Anordnung der analogen Anwendung gar nicht bedurft. Aber das spielt heute keine Rolle mehr.

Unterschiedliche Rechtsauffassungen

In der DSGVO ist Auftragsverarbeitung einfach Auftragsverarbeitung. Wer personenbezogene Daten im Auftrag verarbeitet, ist Auftragsverarbeiter (s. Fall 7). Und wer einen Dienstleister einsetzt und ihm personenbezogene Daten zur Verfügung stellt, ohne mit ihm eine Auftragsverarbeitungsvereinbarung abgeschlossen zu haben, der begeht einen DSGVO-Verstoß.

Nach einer Entscheidung der Hamburger Datenschutzbehörde aus dem Januar 2019 hat (natürlich) der Verantwortliche die Pflicht, eine Auftragsverarbeitungsvereinbarung mit dem Dienstleister abzuschließen. Weigert sich der Dienstleister, eine solche Vereinbarung vorzulegen oder abzuschließen, kann man nicht einfach „zur Tagesordnung übergehen“ und die personenbezogenen Daten „vertragslos“ weitergeben. Die Anregung der Datenschutzbehörde an den Verantwortlichen, einen solchen Vertrag selbst zu verfassen und dem Dienstleister (in „seiner Sprache“ – im dortigen Fall spanisch) „ultimativ“ zur Unterschrift zu übersenden, wird in der Praxis daran scheitern, dass die im Vertrag gewöhnlich aufzuführenden technischen und organisatorischen Maßnahmen des Dienstleisters zur Sicherung der auftrags- und gesetzesgemäßen Datenverarbeitung dem Auftraggeber zu diesem Zeitpunkt nicht bekannt sein werden. Es wäre zwar nach Abschluss der Vereinbarung die Pflicht des Verantwortlichen, diese Maßnahmen des Dienstleisters zu prüfen, aber was man noch nicht kennt, kann man weder beschreiben noch prüfen. Der Dienstleister hat sich in diesem Fall also selbst „disqualifiziert“. Die mangelnde Bereitschaft zur Vorlage und/oder zum Abschluss einer Auftragsverarbeitungsvereinbarung führt also dazu, dass der Dienstleister entweder nicht eingesetzt werden darf oder seine Aufgaben so zugeschnitten bzw. umformuliert werden, dass er im Rahmen der Dienstleistung keine personenbezogenen Daten erhält. Das bayerische Landesamt für Datenschutzaufsicht formuliert dies in seinem Tätigkeitsbericht 2017/2018 so:

„Können sich ein Verantwortlicher und ein Auftragsverarbeiter nicht auf den Abschluss oder eine erforderliche Anpassung der Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO verständigen, weil sich z. B. der Auftraggeber weigert, den Vertrag abzuschließen oder einen nach altem Recht bestehenden Vertrag anzupassen, entfällt für den Auftragsverarbeiter die datenschutzrechtliche Grundlage für die Verarbeitung. Daran ändert sich auch dann nichts, wenn Auftraggeber und Auftragnehmer dem gleichen Konzern angehören und/oder dadurch bspw. für Beschäftigte des Auftraggebers oder andere juristische oder natürliche Personen keine Leistungen durch den Auftraggeber erbracht werden können.“

Wartung als Auftragsverarbeitung?

Die entscheidende Frage im vorliegenden Fall ist nun, ob Software-Wartung Auftragsverarbeitung ist, wenn die Möglichkeit besteht, dabei personenbezogene Daten zur Kenntnis zu nehmen. Dies ist natürlich bei Vor-Ort-Besuchen der Fall, wenn der Mitarbeiter des Softwareherstellers „mal mit auf den Bildschirm schaut“. Aber auch im Rahmen der Fernwartung ist dies möglich und der Mitarbeiter des Softwarehersteller kann in diesem Fall sogar unbemerkt einen Screenshot anfertigen und die darauf enthaltenen personenbezogenen Daten auswerten (s. auch Fälle 23 und 24). Zusätzlich stellt sich die Frage, ob der Softwarehersteller, auch wenn unbekannt ist, ob und wie oft eine Wartung erfolgt und welche personenbezogenen Daten dabei eingesehen werden (können), als „Empfänger“ der personenbezogenen Daten in den Pflichthinweisen an den Betroffenen angegeben werden muss.

Soweit sich die Juristen bislang mit dem Fortbestand der alten Regel aus dem BDSG beschäftigen, gehen sie überwiegend davon aus, dass Software-Wartung unter den Begriff der Auftragsverarbeitung im Sinne der DSGVO fällt. Begründet wird dies mit der „weiten“ begrifflichen Formulierung der Auftragsverarbeitung in der DSGVO. Man kann das überzeugend finden oder auch nicht (s. dazu auch Fall 7). Auch die Datenschutzkonferenz führt in ihrem Kurzpapier Nr. 13 zum Thema Auftragsverarbeitung im Kapitel „Wartung und Fernzugriffe“ sinngemäß aus: Da definitionsgemäß jedes „Auslesen, Abfragen, Verwenden“ personenbezogener Daten eine „Verarbeitung“ sei, sei jeder, der so etwas im Rahmen eines Auftragsverhältnisses macht (oder auch nur machen kann), ein Auftragsverarbeiter. Nur „bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung)“ scheide diese Qualifizierung aus – mutmaßlich, weil die Datenschutzkonferenz annimmt, dass bei diesen Arbeiten kein Risiko der Einsichtnahme in personenbezogene Daten besteht. Die Frage, ob die Verarbeitung personenbezogener Daten den Kernbereich der Dienstleistung ausmacht oder eine mechanische Verarbeitung als „verlängerte Werkbank“ vorliegt, spielt keine Rolle mehr. Mit anderen Worten: Ohne weitergehende Erklärungen gehen die Datenschutzbehörden davon aus, dass jedes „Einsehen-Können“ personenbezogener Daten, auch wenn dies ausdrücklich gerade nicht mit dem Auftrag bezweckt (bzw. vertragsgemäß) ist, zu einem Auftragsverarbeitungsverhältnis führt.

Nun würde sich auf dieser Basis natürlich wieder die Frage der begrifflichen Grenze stellen, also wie wahrscheinlich bzw. absehbar eine solche Einsichtnahmemöglichkeit sein muss. Auf Basis des Grundsatzes „nachher ist man immer schlauer“ (englisch: „with the benefit of hindsight“) wird wohl so manche zufällige bzw. ungeplante Kenntnisnahme in der Rück-schau als „natürlich vorhersehbar“ eingestuft werden. Wenn also ein Gärtner um eine Terrasse herum den Garten (als Hardware) „wartet“ und auf der Terrasse oft über die Gesundheitsprobleme von „Tante Marta“ gesprochen werden – muss dann eine Auftragsverarbeitungsvereinbarung mit dem Gärtner abgeschlossen werden oder genügt es, wenn der Gärtner zusichert, dass er bei der Arbeit Ohrenstöpsel trägt? Aber selbst neben diesem plakativen Beispiel gibt es ja bekanntlich viele Dienstleister, die die Gelegenheit haben, nebenbei personenbezogene Daten zu „erhaschen“. Das fängt mit dem Reinigungspersonal an und endet bei den Fensterputzern und Monteuren noch lange nicht. Schwierig wird es auch, wenn man mit den betreffenden Dienstleistungen gar nicht selbst in vertraglichem Kontakt steht – etwa wenn die vom Vermieter beauftragten Handwerker in den gemieteten Geschäftsräumen tätig sind und dabei mit personenbezogenen Daten, die der Mieter verarbeitet, in Berührung kommen. Unter dem alten BDSG hat man sich – eben wegen der begrenzten „entsprechenden“ Anwendbarkeit der Regelungen für die Auftrags(daten)verarbeitung auf „die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen“ – in der Regel damit beholfen, in diesen Fällen eine Geheimhaltungsvereinbarung abzuschließen. Letztlich ging es dabei darum, den Dienstleister zur verpflichten, bei Ausführung seiner Tätigkeiten von personenbezogenen Daten „nicht Kenntnis zu nehmen“, und wenn es doch einmal „passiert“, diese Informationen für nichts zu verwenden und diese nicht weiterzugeben (also so zu tun, als hätte er die Information nicht zur Kenntnis genommen). Muss man nun in allen diesen Fällen eine Auftragsverarbeitungsvereinbarung treffen und der Dienstleister muss seine technischen und organisatorischen Maßnahmen beschreiben?

„Anonymisierung“ der Wartung

Man kann sich nun überlegen, wie eine Software-(Fern-)Wartung so ausgestaltet werden kann, dass keine Möglichkeit besteht, Einblick in personenbezogene Daten zu nehmen. Der Mitarbeiter des Unternehmens, das die Software einsetzt, könnte selbst Screenshots anfertigen – hoffentlich hat er ein „need to know“ in Bezug auf diese Daten – und in diesen Screenshots sämtliche personenbezogenen Daten anonymisieren bzw. schwärzen. Dies erhöht natürlich den Aufwand aufseiten des die Software nutzenden Unternehmens beträchtlich. Und auf der anderen Seite macht es die Software-Wartung umständlicher: Die geschwärzten Daten werden häufig nicht mehr gleichermaßen aussagekräftig sein und der Mitarbeiter des Software-Herstellers kann nicht interaktiv „mal schnell hier klicken, um zu sehen, was dann passiert“. Eine weitere Alternative – „privacy by design“ lässt grüßen – wäre es, in die Software einen Fernwartungs-Modus zu integrieren, bei dem sämtliche Inhaltsdaten automatisch „verwirbelt“ (anonymisiert), (teil-)geschwärzt oder durch Testdaten ersetzt werden, die keinen Bezug zu natürlichen Personen haben. Für den Softwarehersteller erscheint da doch der Abschluss einer Auftragsverarbeitungsvereinbarung als das kleinere Übel – während der Verantwortliche „eigentlich“ im Rahmen einer Beschaffungsentscheidung und im Rahmen des Zumutbaren einen Hersteller vorziehen müsste, der die Wartung so gestaltet, dass gar keine personenbezogenen Daten an ihn übertragen werden.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden