Die Nutzung von Computern, Smartphones, Tablets oder anderen Geräten mit elektronischen Datenträgern ist im Geschäftsleben mittlerweile Selbstverständlichkeit und nicht mehr wegzudenken. Auf den in den Geräten befindlichen Datenträgern werden so regelmäßig (bewusst oder unbewusst) personenbezogene Daten anderer Personen gespeichert. Was ist nun zu beachten, wenn Dritte auf die dort gespeicherten personenbezogenen Daten Zugriff erlangen können, etwa weil diese Geräte bzw. die darin befindlichen Datenträger regelmäßig gewartet werden müssen?
Erfolgt die Wartung der Datenträger durch eigene Mitarbeiter handelt es sich um eine normale Datenverarbeitung, wo keine weiteren Besonderheiten zu beachten sind, soweit die Mitarbeiter entsprechend § 5 Bundesdatenschutzgesetz (BDSG) verpflichtet wurden. Erfolgt derartiges aber durch einen Dritten, was regelmäßig im Rahmen der externen Auftragsvergabe der Fall sein dürfte, und kann durch diesen ein Zugriff auf personenbezogene Daten auf diesen Datenträgern nicht ausgeschlossen werden – auf einen tatsächlichen Zugriff kommt es gemäß § 11 Abs. 5 BDSG nicht an – ist grundsätzlich eine so genannte Auftragsdatenverarbeitung und eine entsprechende vertragliche Regelung gemäß § 11 BDSG in Betracht zu ziehen. Dabei spielt es keine Rolle, ob die Wartung direkt im Haus durch einen Mitarbeiter des Dritten oder per Fernwartung erfolgt. Um die Privilegierungswirkung des § 11 BDSG zu wahren muss der Vertrag schriftlich geschlossen werden. Eindeutig muss sich ergeben, dass der Auftraggeber hinsichtlich der personenbezogenen Daten alleinige Weisungsrechte hat. Die in Abs. 2 vorbezeichneter Bestimmung enthaltenen 10 Punkte sind den konkreten Umständen entsprechend anzupassen und aufzunehmen. Technisch – organisatorische Maßnahmen sind an § 9 Abs. 2 BDSG auszurichten. Und schließlich muss sich der Auftraggeber von der Zuverlässigkeit des Dritten im Rahmen dieser Verpflichtung vor Beginn der Datenverarbeitung, aber auch während des Vorgangs selbst, überzeugen, wobei hierbei auch auf geeignete Zertifikate zurückgegriffen werden darf, was – soweit vorhanden – eine persönliche Kontrolle entbehrlich macht.
Derartige Verträge zur Auftragsdatenverarbeitung hält Ihr Datenschutzbeauftragter vor. Er sollte auch in der Lage sein, diese den jeweiligen konkreten Umständen anzupassen und auf weitere, den Rahmen dieses kurzen Aufsatzes sprengende Einzelheiten zu achten.
Ein Verstoß dagegen kann – neben weiteren Folgen – die Verhängung von Bußgeldern bis zu 50.000,00 Euro durch die Aufsichtsbehörde nach sich ziehen.