Warum gilt der IT‑Dienstleister als Auftragsverarbeiter?

Warum gilt der IT‑Dienstleister als Auftragsverarbeiter?

GDPR

Die DSGVO beeinflusst maßgeblich, wie Organisationen mit personenbezogenen Daten umgehen. Neben den Mitarbeitern des Unternehmens, die direkt mit den Daten arbeiten, ist es wichtig, auch externen Subjekten Aufmerksamkeit zu schenken, die während der Erbringung ihrer Dienstleistungen Zugang zu den Daten haben können.

Ein typisches Beispiel ist ein IT-Dienstleister, der Service, Wartung, technischen Support oder die Verwaltung von Informationssystemen sicherstellt.

Viele Mitarbeiter, aber auch einige Lieferanten, sind sich nicht bewusst, dass allein die Möglichkeit, personenbezogene Daten einzusehen, bedeutet, dass der Lieferant gemäß der DSGVO als Auftragsverarbeiter tätig ist. Daher ist es wichtig zu verstehen, warum das so ist und welche Auswirkungen dies auf unsere Organisation hat. 

Gemäß Artikel 4 der DSGVO - „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wer ist ein Auftragsverarbeiter nach der DSGVO?

Nach der DSGVO ist ein Auftragsverarbeiter ein Subjekt, das:

  • personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet,
  • und gemäß dessen Weisungen handelt.

Das bedeutet, dass ein externes Unternehmen, das eine Tätigkeit ausführt, bei der es personenbezogene Daten sehen, erhalten oder verarbeiten kann – auch nur indirekt während der Wartung – automatisch in die Kategorie der Auftragsverarbeiter fällt.

Bei der Erbringung von IT-Dienstleistungen können Situationen entstehen, in denen ein IT-Spezialist:

  • ein Problem in der Datenbank löst,
  • Systemwartung durchführt,
  • einen Fehler diagnostiziert,
  • Fernzugriff auf das System hat,
  • Software aktualisiert oder Konfigurationen einrichtet,
  • Daten sichert oder Backups wiederherstellt,
  • Datenmigration durchführt.

In diesen Fällen kann der Spezialist – zumindest potenziell – Einblick in personenbezogene Daten erhalten, die im System gespeichert sind. Und das genügt völlig, damit er nach der DSGVO als Auftragsverarbeiter gilt. Die DSGVO betrachtet bereits die Möglichkeit des Zugriffs auf personenbezogene Daten als Verarbeitung.

Daher gelten für IT-Support-Anbieter dieselben Regeln wie für jedes andere Subjekt, das Daten im Auftrag des Verantwortlichen verarbeitet.

Der Europäische Datenschutzausschuss (EDSA/EDPB) weist in seinen Leitlinien 07/2020 darauf hin, dass ein Dienstleister auch dann als Auftragsverarbeiter handeln kann, wenn die Verarbeitung personenbezogener Daten nicht der Hauptgegenstand der Dienstleistung ist, der Dienstleister aber systematisch Zugang zu personenbezogenen Daten benötigt, um die Dienstleistung zu erbringen.

Warum kann ein IT-Dienstleister nicht als „Dritte Partei“ gelten?

Eine dritte Partei nach der DSGVO ist ein Subjekt, das:

  • keine Rolle bei der Verarbeitung personenbezogener Daten,
  • und vom Verantwortlichen keine Daten erhält oder Zugriff darauf hat.

Da der IT-Dienstleister das System unterstützt, in dem die Daten gespeichert sind, ist er Teil des Verarbeitungsprozesses. Daher kann er rechtlich gesehen keine dritte Partei sein.

Was bedeutet das für unsere Organisation?

Ein IT-Dienstleister mit potenziellem Zugang zu personenbezogenen Daten ist ein Auftragsverarbeiter nach der DSGVO.

Mit einem IT-Dienstleister muss ein Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen werden. Dieser Rechtsakt muss schriftlich erfolgen, einschließlich elektronischer Form. Ein solcher Vertrag kann Teil eines umfassenderen Vertrags sein, z. B. eines Service Level Agreements (SLA). Der EDSA empfiehlt, die Elemente, die sich auf Artikel 28 beziehen, klar an einer Stelle zu identifizieren (z. B. in einem Anhang). 

Der Vertrag muss mindestens Folgendes enthalten:

  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten und Kategorien betroffener Personen,
  • Pflichten und Rechte des Verantwortlichen,
  • technische und organisatorische Maßnahmen,
  • Vertraulichkeitspflichten,
  • Regeln für Audits und Kontrollen,
  • Bedingungen für weitere Auftragsverarbeiter (Subunternehmer),
  • Meldepflichten bei Sicherheitsvorfällen,
  • Dauer der Verarbeitung.

Der Verantwortliche ist verpflichtet, nur solche Auftragsverarbeiter zu nutzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen umgesetzt werden. Der Verantwortliche muss diese Garantien bewerten können und nachweisen, dass alle relevanten Anforderungen der DSGVO berücksichtigt wurden.

Bei der Bewertung der Garantien sollte der Verantwortliche Folgendes berücksichtigen:

  • Fachwissen des Auftragsverarbeiters (z. B. technische Sicherheitskompetenz),
  • Zuverlässigkeit des Auftragsverarbeiters,
  • Ressourcen des Auftragsverarbeiters. 

Die Einhaltung dieser Grundsätze schützt die Organisation vor Fehlern, Sicherheitsvorfällen und Sanktionen und stellt sicher, dass personenbezogene Daten professionell und sicher verarbeitet werden.

Denken Sie daran:

  • Die Pflicht, nur Auftragsverarbeiter mit „ausreichenden Garantien“ einzusetzen, ist eine fortlaufende Verpflichtung. Sie endet nicht mit der Unterzeichnung des Vertrags. Der Verantwortliche muss die Garantien regelmäßig überprüfen – bei Bedarf auch mittels Audits.
  • Externe IT-Mitarbeiter dürfen nicht als „Kollegen“ angesehen werden — aus DSGVO-Sicht handelt es sich um externe Subjekte mit besonderen Sicherheitsanforderungen.

Wie sollten externe IT-Spezialisten gesteuert werden?

Bei der Arbeit externer IT-Spezialisten müssen strenge Regeln eingehalten werden, um die Systeme und die darin verarbeiteten personenbezogenen Daten zu schützen. Mitarbeiter müssen folgende Grundsätze beachten:

  1. Beschränken Sie den Zugriff externer Techniker auf das absolut Notwendige
    Vergeben Sie nur jene Berechtigungen, die für einen bestimmten Eingriff erforderlich sind (Least-Privilege-Prinzip).
  2. Jeder Fernzugriff muss durch MFA gesichert sein
    Der Zugriff über Remote-Tools muss durch Multi-Faktor-Authentifizierung geschützt sein, um Missbrauch zu verhindern.
  3. Jeder Fernzugriff muss vorab genehmigt werden
    Erlaubt nur nach formaler Genehmigung durch eine befugte Person (z. B. IT-Administrator oder Sicherheitsbeauftragter).
  4. Überwachen und protokollieren Sie alle Zugriffe
    Es müssen Zeit, IP-Adresse, verwendete Konten und durchgeführte Tätigkeiten dokumentiert werden.
  5. Nach jedem Einsatz ist ein Tätigkeitsprotokoll einzufordern
    Der externe Techniker muss angeben:

    - welche Aufgaben durchgeführt wurden,
    - auf welche Systeme zugegriffen wurde,
    - ob Zugriff auf personenbezogene Daten erfolgte,
    - empfehlungen oder Änderungen, die während des Eingriffs vorgenommen wurden.

    Das Protokoll muss in der Einsatzdokumentation archiviert werden.

IOSEC

IOSEC

Neueste Artikel

Newsletter

Ihre E-Mail-Adresse eingeben:

Mit dem Abonnement des Newsletters stimme ich der Verarbeitung meiner personenbezogenen Daten zu

iosec-logo