TIPP: Sollte der IT-Dienstleister keine Vereinbarung zulassen, machen Sie unbedingt eine Verschwiegenheitsverpflichtung und fragen Sie nach den TOMs.

IT-Wartung und Prüfung

Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt. Es kann zwar nicht ausgeschlossen werden, dass durch die Systemprüfung auch personenbezogene Daten durch den IT-Dienstleister zur Kenntnis genommen werden, nach DSGVO müssen aber deswegen keine den ADV-Vorgaben entsprechende Regelungen wie nach § 11 Abs. 5 BDSG geschlossen werden.

Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 festgelegten Pflichten des Verantwortlichen angemessen geschützt sind. Vorsorglich sollte in solchen Konstellationen ggf. eine Verschwiegenheitsverpflichtung vereinbart werden.

Zu den Besonderheiten zählt, dass der Auftragnehmer die personenbezogenen Daten des Auftraggebers gerade nicht planmäßig verarbeitet oder nutzt. Häufig verlassen die personenbezogenen Daten auch nicht die IT-Systeme des Auftraggebers.

Im Rahmen der Dienstleistungserbringung muss darauf geachtet werden, dass der Rahmen der Tätigkeiten Wartung oder Prüfung nicht verlassen wird. Entwickelt sich die Dienstleistung dagegen zu einer Auftragsverarbeitung gem. Art.28 DSGVO, ist eine entsprechende Vereinbarung zu treffen.

Quelle: BITKOM