Sind wir als Ihr Softwarepartner ein Auftragsverarbeiter im Sinne des DSGVO?
Dazu wollen wir zuerst die Frage klären: was ist eine Auftragsdatenverarbeitung nach Artikel 28 des DSGVO?
Die Auftragsdatenverarbeitung umfasst das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister – den Auftragnehmer. Der Dienstleister ist dabei an die Weisungen des Auftragsgebers gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag der ADV-Vertrag.
Entscheidend für diese Definition der Auftragsdatenverarbeitung waren der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der Artikel 28 des DSGVO regelt dies künftig neu. Hierbei hat sich auch die Begrifflichkeit geändert. Statt Auftragsdatenverarbeitung wird nun von Auftragsverarbeitung gesprochen.
Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten Ihren Geschäftspartnern gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Was ist also mit Support Tätigkeiten, wie Wartung, Update der Softwarelösungen und Fernzugriff durch uns auf Ihren Servern?
Sind wir in diesem Sinne Auftragsverarbeiter? Genau in diesem Punkt gibt es aktuell unterschiedliche Einschätzungen.
Der aktuelle Stand ist: Wenn es um eine rein technische Wartung geht, findet keine Datenverarbeitung statt.
Die Bitkom (Bitkom ist der Digitalverband Deutschlands.1999 als Zusammenschluss einzelner Branchenverbände in Berlin gegründet, vertreten sie heute mehr als 2.500 Unternehmen der digitalen Wirtschaft.) erweitert diese Sicht auch auf die komplette Tätigkeit von Softwareherstellern: Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“ Nach DSGVO müsste deswegen kein AV-Vertrag geschlossen werden. „Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 DSGVO festgelegten Pflichten des Verantwortlichen angemessen geschützt sind.
Die DSK sieht dies vollkommen anders: Hierzu steht im Kurzpapier Nr. 13 vom 16.01.2018 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), dass bereits die Möglichkeit des Zugriffes auf personenbezogenen Daten per Fernzugriff zur Auftragsverarbeitung gehört.
Aktuell können wir nur die Diskussion verfolgen und bei einem eindeutigen Beschluss entsprechend reagieren.
Unser Fazit:
Bei Wartungstätigkeiten und/oder Prüfung von unseren Softwarelösungen und Hardwaresystemen handelt es sich nicht um eine Auftragsverarbeitung nach Art. 28 DSGVO. Da unsere technische Unterstützung nicht auf die Verarbeitung der personenbezogenen Daten abzielt. Im Gegenteil eine Verarbeitung von personenbezogenen Daten ist in keinem Fall weder von uns noch von unseren Anwendern gewollt. Daher kann auch nicht von einer Datenverarbeitung nach Weisungen gesprochen werden.
Die einzelnen Aufgaben, die wir übernehmen finden Sie in unserem Softwarewartungsvertrag detailliert aufgeführt.
Damit Sie Ihre Verzeichnisse der Verarbeitungstätigen entsprechend ergänzen können, haben wir hier die für Sie wichtigsten technischen und organisatorischen Maßnahmen (TOMs) dokumentiert. Diese Maßnahmen setzen wir ein, um den Zugriff auf ihre personenbezogenen Daten angemessen zu schützen.
Teamviewer:
Der Fernzugriff auf Ihre Windows-Server erfolgt ausschließlich über die Teamviewer Host Applikation. Für einen Zugriff auf entfernte Rechner Host und auch bei Zugriff auf PC Arbeitsplätzen setzen wir immer die Zwei-Faktoren- Authentifizierung ein. Diese Authentifizierungsmethode bietet eine zusätzliche Sicherheitsebene zum Schutz vor unbefugten Zugriff auf das TeamViewer-Konto. Hierbei wird ein Code auf einem mobilen Gerät i.d.R. das jeweilige Handy generiert, der zusätzlich zu Benutzername und Kennwort benötigt wird, um sich auf dem Teamviewer-Konto einzuloggen. Der Code wird mittels eines TOTP (time-based one-time password) Algorithmus erzeugt. Zudem ist dieser Code durch ein Fernzugangspasswort (SRP) geschützt.
Zugriff über VPN Verbindungen:
Der Fernzugriff auf die Unix-Server erfolgt über eine geschützte VPN-Verbindung. Diese Verbindung wird auf Basis von DSL Routern aufgebaut. Die Zugangsdaten für die VPN Verbindung wird gemeinsam abgestimmt und mit der Software im jeweiligen Router abgelegt.
Updatetätigkeiten:
Vor jedem Datenbank Update das Tabellenstrukturen in Tabellen Ihrer personenbezogener Daten verändert, wird ein Datenbankexport erstellt. Dieser verbleibt auf dem Anwenderserver mit der Datumssignatur.
Parametrisierung der Software oder exklusiver Austausch von Programmen und Programmteilen: Hierfür ist kein Zugriff auf personenbezogenen Daten erforderlich und daher werden auch keine besonderen Schutzmaßnahmen getroffen.
Datenbankexports in unserem Hause:
Datenbankexports werden von uns nur dann benötigt, wenn Programmanpassungen explizit im jeweiligen Datenumfeld erforderlich sind. Dies können individuelle Programmerweiterungen sein oder Fehlerbehebung in den Standardprogrammen. In Abhängigkeit des technischen Versionsstandards, der sich aus der Version des Betriebssystems und der Datenbank ergibt, werden die Kundendatenbanken auf dem Server mit der der entsprechenden technischen Ausstattung eingespielt. Die Zugriffskontrolle erlaubt den Zugriff nur für berechtigte Mitarbeitern. Da keine Datenverarbeitung erfolgt, erfolgt auch keine Sicherung der Kundendatenbanken. Somit existieren keine Backups der jeweiligen Kundendaten. Die Originaldateien werden nach routinemäßiger Prüfung gelöscht, wenn kein Bedarf der Daten existiert.
Haben Sie noch Fragen? Sie benötigen noch vertiefende Informationen? Dann wenden Sie sich per E-Mail an ckuhebandner@ekcd.de oder rufen Sie uns an.
Rechtlicher Hinweis: Dieser Newsletter dient zur Information und stellt keine Rechtsberatung dar.