SITTIG LAW Kanzlei Blog

Datenschutzvereinbarung Wartung und Pflege von IT-Systemen

Datenschutzvereinbarungen bei der Wartung und Pflege von IT-Systemen sind nach der DSGVO zwingend erforderlich, sobald externe Dienstleister Zugriff auf personenbezogene Daten erhalten. Unternehmen müssen sicherstellen, dass Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen und technische sowie organisatorische Maßnahmen (TOM) detailliert festgelegt werden. Fehlende oder unklare Vereinbarungen können zu hohen Bußgeldern und Haftungsrisiken führen. Der Artikel erklärt die rechtlichen Grundlagen, zeigt typische Wartungsszenarien, gibt praktische Tipps zur Vertragsgestaltung und bietet eine Checkliste für eine DSGVO-konforme Umsetzung.
Inhalt

Das Wichtigste im Überblick

Warum Datenschutzvereinbarungen bei IT-Wartung unverzichtbar sind

Die Digitalisierung hat Unternehmen aller Größenordnungen vor neue Herausforderungen gestellt. Während IT-Systeme immer komplexer werden, steigt gleichzeitig der Bedarf an professioneller Wartung und Pflege dieser Systeme. Was viele Unternehmen jedoch übersehen: Sobald externe Dienstleister Zugang zu IT-Systemen erhalten, die personenbezogene Daten verarbeiten, entstehen weitreichende datenschutzrechtliche Verpflichtungen.

Die Datenschutz-Grundverordnung (DSGVO) hat die rechtlichen Anforderungen an solche Konstellationen erheblich verschärft. Unternehmen, die ihre IT-Systeme extern warten lassen, ohne entsprechende Datenschutzvereinbarungen abzuschließen, bewegen sich in einer rechtlichen Grauzone, die empfindliche Bußgelder nach sich ziehen kann. Gleichzeitig entstehen Haftungsrisiken gegenüber Betroffenen, deren Daten möglicherweise unrechtmäßig verarbeitet werden.

Rechtliche Grundlagen der Datenschutzvereinbarung bei IT-Wartung

DSGVO als zentrale Rechtsquelle

Die Datenschutz-Grundverordnung bildet das Fundament aller datenschutzrechtlichen Überlegungen bei der Wartung von IT-Systemen. Artikel 28 DSGVO regelt dabei explizit die Auftragsverarbeitung und stellt klare Anforderungen an Auftragsverarbeitungsverträge (AVV) zwischen Verantwortlichen und Auftragsverarbeitern.

Nach Art. 28 DSGVO darf die Verarbeitung durch einen Auftragsverarbeiter nur auf der Grundlage eines Vertrags erfolgen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Dieser Vertrag muss in schriftlicher Form vorliegen oder in einem anderen rechtlich bindenden Rechtsakt festgehalten werden.

Auftragsverarbeitung bei IT-Wartung: Definition und Abgrenzung

Wann liegt Auftragsverarbeitung vor?

Die Einordnung von IT-Wartungsdienstleistungen als Auftragsverarbeitung hängt entscheidend davon ab, ob der Dienstleister Zugang zu personenbezogenen Daten erhält. Bereits die theoretische Möglichkeit des Datenzugriffs reicht aus, um eine Auftragsverarbeitung zu begründen.

Typische Szenarien, die als Auftragsverarbeitung einzustufen sind:

Remote-Wartung mit Systemzugriff: Wenn Wartungsdienstleister per Fernzugriff auf Server, Datenbanken oder andere IT-Systeme zugreifen, die personenbezogene Daten enthalten, liegt zweifelsfrei eine Auftragsverarbeitung vor. Dies gilt auch dann, wenn der Dienstleister versichert, nicht auf die Daten zuzugreifen.

Vor-Ort-Wartung mit potenziellem Datenkontakt: Auch bei physischen Wartungsarbeiten vor Ort kann eine Auftragsverarbeitung vorliegen, wenn beispielsweise Backup-Systeme gewartet werden oder Zugang zu Servern besteht, auf denen personenbezogene Daten gespeichert sind.

Cloud-basierte Wartungsszenarien: Bei der Wartung von Cloud-Systemen ist besondere Vorsicht geboten, da hier regelmäßig personenbezogene Daten verarbeitet werden und die Abgrenzung zwischen verschiedenen Verarbeitungszwecken komplex sein kann.

Abgrenzung zur gemeinsamen Verantwortlichkeit

Nicht jede externe IT-Dienstleistung führt automatisch zu einer Auftragsverarbeitung. In manchen Fällen kann auch eine gemeinsame Verantwortlichkeit vorliegen, wenn der Dienstleister eigene Entscheidungen über Zwecke und Mittel der Verarbeitung trifft.

Die Abgrenzung ist in der Praxis oft schwierig und erfordert eine genaue Analyse der Vertragsgestaltung und der tatsächlichen Durchführung der Dienstleistung. Pauschale Einordnungen sind dabei nicht zielführend.

Pflichtinhalte einer Datenschutzvereinbarung nach Art. 28 DSGVO

Grundlegende Vertragsbestandteile

Gegenstand und Dauer der Verarbeitung: Die Vereinbarung muss präzise beschreiben, welche konkreten Wartungsarbeiten durchgeführt werden und in welchem Zeitraum diese erfolgen. Vage Formulierungen wie „IT-Services“ reichen nicht aus.

Art und Zweck der Verarbeitung: Es muss klar definiert werden, zu welchem Zweck personenbezogene Daten im Rahmen der Wartung verarbeitet werden dürfen. Dies ist besonders relevant, wenn der Wartungsdienstleister beispielsweise Logdateien analysiert oder System-Backups erstellt.

Kategorien personenbezogener Daten: Die Vereinbarung muss spezifizieren, welche Arten von personenbezogenen Daten von der Wartung betroffen sein können. Dies reicht von Stammdaten bis hin zu sensiblen Gesundheitsdaten, je nach Art des IT-Systems.

Kategorien von betroffenen Personen: Eine Auflistung der Personengruppen, deren Daten verarbeitet werden könnten, ist erforderlich. Dies können Kunden, Mitarbeiter, Geschäftspartner oder andere Personen sein.

Um eine DSGVO-konforme Datenverarbeitung zu gewährleisten, regelt Art. 32 DSGVO technische und organisatorische Maßnahmen (TOM), deren Einhaltung erforderlich ist.

Technische und Organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOMs) bilden den Kern jeder DSGVO-konformen Datenverarbeitung und sind nach Art. 32 DSGVO für alle Verantwortlichen verpflichtend. Diese Schutzmaßnahmen umfassen sowohl technische Vorkehrungen wie Verschlüsselung und Zugriffskontrollen als auch organisatorische Prozesse wie Mitarbeiterschulungen und Datenschutzrichtlinien, um personenbezogene Daten wirksam vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

MaßnahmeTechnischOrganisatorisch
1. ZutrittskontrolleChipkarten-Schließsystem, Sicherheitstüren, Lichtschranken, Videoüberwachung, CodesperreBesucherprotokollierung, Schlüsselchipliste, rollenbasierte Serverraum-Berechtigungen
2. ZugangskontrolleBenutzer-/Passwort-Authentifikation, Anti-Viren-Software, Smartphone-Verschlüsselung, USB-SperrungBenutzerprofilverwaltung, Passwortregeln, geprüftes Reinigungspersonal
3. ZugriffskontrolleRollenbasiertes Berechtigungskonzept, Datenträgerverschlüsselung, ZugriffsprotokolleMinimale Administrator-Anzahl, geregelte Rechtevergabe/-entzug, zertifizierte Datenvernichtung
4. WeitergabekontrolleVPN, Firewall, E-Mail-VerschlüsselungDokumentation von Empfängern und Löschfristen
5. EingabekontrolleProtokollierung aller Dateneingaben/-änderungen/-löschungenIndividuelle Benutzernamen, dokumentierte Weisungen, Berechtigungskonzept
6. AuftragskontrolleSorgfältige Auftragnehmer-Auswahl, laufende Überprüfung, AV-Verträge nach Art. 28 DSGVO, Kontrollrechte, Mitarbeiter-Verpflichtung
7. VerfügbarkeitskontrolleAusgelagerte Datensicherung (STRATO AG Rechenzentrum)Backup- & Recovery-Konzept, getestete Datenwiederherstellung
8. TrennungsgebotGetrennte Produktiv-/Testsysteme, logische MandantentrennungBerechtigungskonzept, definierte Datenbankrechte
9. SystembelastbarkeitLastverteilung auf parallele Systeme, regelmäßige Updates/PatchesIncident-Response-Prozess, dokumentierte Datenpannen-Vorgehensweise
10. Regelmäßige ÜberprüfungFestgelegte Prüfroutine, datenschutzfreundliche VoreinstellungenRevision von Prüfberichten, Datenschutz-Management, weisungsgebundene Auftragsverarbeitung

Besondere Herausforderungen bei verschiedenen IT-Wartungsszenarien

Cloud-basierte IT-Systeme

Die Wartung von Cloud-Infrastrukturen bringt zusätzliche datenschutzrechtliche Komplexitäten mit sich. Hier müssen oft mehrere Auftragsverarbeitungsvereinbarungen ineinandergreifen: eine zwischen dem Unternehmen und dem Cloud-Provider sowie eine weitere zwischen dem Cloud-Provider und dem Wartungsdienstleister.

Unterauftragsverarbeitung regeln: Wenn der primäre Wartungsdienstleister seinerseits Subunternehmer einsetzt, müssen entsprechende Genehmigungsverfahren und Kontrollmechanismen etabliert werden.

Medizinische IT-Systeme

Im Gesundheitswesen gelten besonders strenge Datenschutzanforderungen, da hier regelmäßig Gesundheitsdaten verarbeitet werden:

Schweigepflicht und Berufsgeheimnisschutz: Wartungsdienstleister müssen sich entsprechenden Verschwiegenheitsverpflichtungen unterwerfen, die über die standardmäßigen Datenschutzbestimmungen hinausgehen.

Sektorspezifische Regelungen: Je nach medizinischem Bereich können zusätzliche Gesetze wie das Patientendaten-Schutz-Gesetz oder spezifische Landesgesetze relevant werden.

Praktische Tipps für rechtssichere Vertragsgestaltung

Vertragsverhandlung strukturiert angehen

Risikoanalyse als Ausgangspunkt: Bevor Vertragsverhandlungen beginnen, sollte eine detaillierte Analyse der datenschutzrechtlichen Risiken erfolgen. Welche Daten sind betroffen? Welche Zugriffe sind tatsächlich erforderlich? Welche Alternativen gibt es?

Präzise Leistungsbeschreibung: Vage Formulierungen sind der Hauptgrund für spätere Rechtsstreitigkeiten. Die Datenschutzvereinbarung sollte exakt beschreiben, welche Wartungsarbeiten durchgeführt werden und welche Datenverarbeitungen dabei unvermeidlich sind.

Technische Details nicht vergessen: Juristische Klauseln allein reichen nicht aus. Die Vereinbarung muss auch technische Implementierungsdetails enthalten, um in der Praxis funktionsfähig zu sein.

Kontrollmechanismen etablieren

Reporting-Strukturen: Der Auftragsverarbeiter sollte verpflichtet werden, regelmäßig über seine Aktivitäten zu berichten. Dies umfasst sowohl routinemäßige Status-Reports als auch Berichte bei besonderen Vorkommnissen.

Haftung und Versicherung

Haftungsverteilung klar regeln: Die DSGVO sieht in Art. 82 eine gesamtschuldnerische Haftung von Verantwortlichem und Auftragsverarbeiter vor. Interne Regressansprüche sollten daher vertraglich detailliert geregelt werden.

Versicherungsschutz prüfen: Sowohl Auftraggeber als auch Auftragsverarbeiter sollten über eine angemessene Cyberversicherung verfügen. Die Deckungssummen und -bereiche sollten in der Datenschutzvereinbarung spezifiziert werden.

Checkliste für rechtssichere Datenschutzvereinbarungen

Vor Vertragsabschluss

  • Risikoanalyse durchgeführt: Alle von der Wartung betroffenen Datenarten und -kategorien identifiziert
  • Rechtsgrundlage geprüft: Legitimation für die Datenverarbeitung im Rahmen der Wartung geklärt
  • Alternativen evaluiert: Möglichkeiten zur Minimierung oder Vermeidung der Datenverarbeitung geprüft
  • Dienstleister-Assessment: Qualifikation und Zuverlässigkeit des Auftragsverarbeiters bewertet
  • Versicherungsschutz: Ausreichende Deckung bei beiden Parteien vorhanden

Vertragsinhalt

  • Pflichtangaben nach Art. 28 DSGVO: Alle in Art. 28 DSGVO geforderten Inhalte vollständig enthalten
  • Technische und organisatorische Maßnahmen: Detailliert und nachprüfbar beschrieben
  • Weisungsrecht: Umfang und Ausübung des Weisungsrechts klar definiert
  • Unterauftragsverarbeitung: Genehmigungsverfahren und Kontrollmechanismen festgelegt
  • Betroffenenrechte: Verfahren zur Unterstützung bei der Erfüllung von Betroffenenrechten geregelt
  • Löschungskonzept: Klare Vorgaben für die Löschung oder Rückgabe von Daten nach Vertragsende

Nach Vertragsabschluss

  • Implementierung überwacht: Praktische Umsetzung der vertraglichen Vorgaben kontrolliert
  • Schulungen durchgeführt: Alle beteiligten Mitarbeiter über etwaige neue Verfahrensweisen informiert
  • Audit-Plan erstellt: Regelmäßige Überprüfungen der Auftragsverarbeitung eingeplant
  • Dokumentation erstellt: Vollständige Dokumentation der Auftragsverarbeitung im Verzeichnis von Verarbeitungstätigkeiten

Laufende Überwachung

  • Regelmäßige Reviews: Mindestens jährliche Überprüfung der Vereinbarung auf Aktualität
  • Rechtsentwicklung verfolgt: Neue gesetzliche Anforderungen zeitnah in Verträge eingearbeitet

Rechtssicherheit durch professionelle Vertragsgestaltung

Die rechtssichere Gestaltung von Datenschutzvereinbarungen für die Wartung und Pflege von IT-Systemen erfordert ein tiefes Verständnis sowohl der technischen Gegebenheiten als auch der rechtlichen Anforderungen. Die DSGVO hat die Komplexität erheblich erhöht, aber auch die Rechtssicherheit für alle Beteiligten verbessert, wenn die Vorgaben konsequent umgesetzt werden.

Unternehmen, die ihre IT-Wartung extern vergeben, sollten sich bewusst machen, dass datenschutzkonforme Vereinbarungen nicht nur eine rechtliche Notwendigkeit darstellen, sondern auch einen wichtigen Baustein des unternehmensweiten Risikomanagements bilden. Gut gestaltete Verträge schützen nicht nur vor Bußgeldern, sondern schaffen auch Vertrauen bei Kunden und Geschäftspartnern.

Die Investition in professionelle rechtliche Beratung bei der Gestaltung von Datenschutzvereinbarungen amortisiert sich schnell durch die Vermeidung kostspieliger Rechtsstreitigkeiten und Bußgelder. Gleichzeitig schafft eine solide rechtliche Grundlage die Voraussetzungen für eine vertrauensvolle und effiziente Zusammenarbeit mit IT-Dienstleistern.

Häufig gestellte Fragen

Ja, bereits die technische Möglichkeit des Zugriffs auf personenbezogene Daten begründet eine Auftragsverarbeitung. Die tatsächliche Nutzung dieser Möglichkeit ist für die rechtliche Beurteilung irrelevant. Auch bei reinen Hardware-Wartungen kann eine Auftragsverarbeitung vorliegen, wenn beispielsweise Festplatten mit personenbezogenen Daten ausgetauscht werden müssen.

Standardklauseln können als Ausgangspunkt dienen, müssen aber immer an die spezifischen Gegebenheiten der jeweiligen Wartungsdienstleistung angepasst werden. Art. 28 DSGVO fordert explizit die Beschreibung des konkreten Gegenstands und der Art der Verarbeitung. Pauschale Formulierungen erfüllen diese Anforderungen nicht.

Nach Art. 82 DSGVO haften der Verantwortliche und der Auftragsverarbeiter gesamtschuldnerisch gegenüber den betroffenen Personen. Im Innenverhältnis bestimmt sich die Haftungsverteilung nach dem Grad des Verschuldens.

Ja, auch einmalige oder kurzfristige Wartungsarbeiten erfordern eine Datenschutzvereinbarung, wenn dabei personenbezogene Daten verarbeitet werden könnten. Für solche Fälle können Rahmenvereinbarungen mit spezifischen Einzelaufträgen sinnvoll sein.

Eine regelmäßige Überprüfung sollte mindestens jährlich erfolgen. Darüber hinaus sind Anpassungen erforderlich bei: Änderungen der Wartungsleistungen, neuen rechtlichen Anforderungen, technologischen Weiterentwicklungen oder nach Sicherheitsvorfällen.

Art. 28 DSGVO fordert eine klare Regelung für die Rückgabe oder Löschung der Daten nach Beendigung der Dienstleistung. Diese Regelung muss auch technische Aspekte wie die sichere Löschung von Backup-Kopien und temporären Dateien umfassen.

Internationale Datenübermittlungen sind nur unter den Voraussetzungen des Kapitels V DSGVO zulässig. Bei Wartungsdienstleistungen mit grenzüberschreitenden Komponenten müssen entsprechende Schutzmaßnahmen implementiert werden.

Zertifizierungen können Anhaltspunkte für die Vertrauenswürdigkeit eines Dienstleisters bieten, ersetzen aber nicht die individuelle Prüfung und die spezifische Ausgestaltung der Datenschutzvereinbarung.

Ja, Art. 28 DSGVO fordert explizit, dass alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet werden. Dies gilt unabhängig davon, ob bereits gesetzliche Verschwiegenheitspflichten bestehen.

Auch für KMU gibt es keine Vereinfachungen bei den rechtlichen Anforderungen. Allerdings können branchenspezifische Musterverträge als Ausgangspunkt dienen. Eine frühzeitige rechtliche Beratung hilft dabei, kosteneffiziente Lösungen zu entwickeln und spätere, teure Korrekturen zu vermeiden.

Standort Hamburg
Hauptsitz
Martinistraße 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
SITTIG LAW
Rechtsanwalt.
Fachanwalt für Strafrecht.
Fachanwalt für IT-Recht.

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​

Kontaktformular