Typische Anwendungsbereiche der Fernwartung umfassen das Einspielen von Software-Updates und Patches, die Diagnose und Behebung von Fehlern, die kontinuierliche Überwachung von Systemen sowie die Durchführung von Backups und Datenwiederherstellungen. Auch Netzwerkwartung, Hardwareüberwachung, Sicherheitsüberprüfungen und Remote-Desktop-Support zählen dazu.
Ein Auftragsverarbeitungsvertrag ist laut Art. 28 DSGVO erforderlich, wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Aber wann genau liegt ein solches Auftragsverarbeitungsverhältnis im Falle der Fernwartung vor?
Keine Auftragsverarbeitung bei reiner Infrastrukturwartung
Ein Auftragsverarbeitungsverhältnis liegt unzweifelhaft nicht vor, wenn keine personenbezogenen Daten verarbeitet werden. Kann ein Zugriff des Dienstleisters auf personenbezogene Daten des Auftraggebers ausgeschlossen werden, so scheidet eine Auftragsverarbeitung aus. Dies ist typischerweise bei reiner Infrastrukturwartung der Fall, wie beispielsweise bei Arbeiten an der Stromzufuhr, Kühlung oder Heizung.
Zugriffsmöglichkeit genügt für Auftragsverarbeitung
In vielen Fällen besteht jedoch zumindest die Möglichkeit, im Rahmen der Fernwartung auf personenbezogene Daten zuzugreifen. Selbst wenn nur auf Auditlogs zugegriffen wird, die dokumentieren, welche Personen wann in den IT-Systemen tätig waren, handelt es sich um die potenzielle Verarbeitung von personenbezogenen Daten durch das Wartungsunternehmen.
Die Datenschutzbehörden vertreten hier eine weite Auslegung der Auftragsverarbeitung, wonach bereits die Möglichkeit des Zugriffs auf personenbezogene Daten für eine Auftragsverarbeitung genügt. Das Kurzpapier Nr. 13 der Datenschutzkonferenz (DSK) führt hierzu aus:
"Wartung und Fernzugriffe: Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen."
Sollte im Rahmen der Fernwartung also die bloße Möglichkeit bestehen, auf Auditlogs zuzugreifen, handelt es sich um eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO. In diesem Fall ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO notwendig.
Schlussfolgerung und Empfehlungen
Fernwartung stellt nach Auffassung der Datenschutzbehörde eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar, sobald die Möglichkeit des Zugriffs auf personenbezogene Daten besteht. Bereits der Zugriff auf Auditlogs ist in vielen Fällen ausreichend, um ein Auftragsverarbeitungsverhältnis zu begründen. In solchen Fällen ist der Abschluss eines Auftragsverarbeitungsvertrages zwischen dem Verantwortlichen (Kunde/Nutzer) und dem Auftragsverarbeiter (Dienstleister, der die Fernwartung durchführt) unerlässlich. Eine Ausnahme bildet lediglich die reine Infrastrukturwartung, bei der ein Zugriff auf personenbezogene Daten ausgeschlossen ist. Um rechtliche Klarheit zu schaffen, sollte in Verträgen explizit festgehalten werden, wenn ausgeschlossen ist, dass personenbezogene Daten verarbeitet werden, insbesondere bei rein technischen Systemen ohne Benutzerdatenspeicherung.
In der Praxis kann es jedoch sinnvoll sein, Fernwartung grundsätzlich als Auftragsverarbeitung zu behandeln, um aufwändige Einzelfallprüfungen und administrativen Mehraufwand zu vermeiden. Bei möglicher Zugriffsmöglichkeit auf personenbezogene Daten empfiehlt es sich, standardmäßig von einer Auftragsverarbeitung auszugehen und diesen Prozess in das Vertragswerk der Parteien zu integrieren.