Ergebnis 1 bis 10 von 10

Thema: Softwarehersteller: ADV bei Support im Hinblick auf DSGVO

  1. #1
    Registriert seit
    16.04.2018
    Beiträge
    1

    Standard Softwarehersteller: ADV bei Support im Hinblick auf DSGVO

    Hallo zusammen,

    mein Arbeitgeber ist ein kleines Softwarehaus welches Softwareprodukte zur Speicherung von (beliebigen) Datein anbietet. Bei unseren Kunden werden die Produkte dann zusammen mit vorgelagerten Fachanwendungen eingesetzt in denen z.T. auch personenbezogene Daten gespeichert sein könnten. Unsere Software hat mit den Daten aber nur insofern zu tun als daß unsere Software quasi auf Storage-Seite für die eigentliche Anwendung eingesetzt wird. So gesehen ist unserer Software auch eher näher beim Betriebssystem als bei der Fachanwendung.

    Mit unseren Kunden haben wir einen sog. Softwarepflegevertrag. Ich vermeide hier bewusst den Begriff "Wartungsvertrag", da solcher bei dem Kunden oft eine größere Erwartungshaltung weckt als von uns gewünscht. Der Kunde bekommt von uns Updates der Software bereitgestellt (die er i.d.R. selbst installiert), allerdings übernehmen wir keine regelmäßigen Wartungstätigkeiten oder gar einen Betrieb der Software. Es kann aber vorkommen, daß wir im Support aufgrund eines Fehlers in der Software einen Remote-Zugang benötigen um das System wieder in einen funktionsfähigen Zustand zu bringen. Dies aber nur auf explizite Anforderung des Kunden und nur unter dessen Aufsicht bzw. Mitwirkung. D.h. der Remote-Zugang wird auch nur bei Bedarf eingerichtet. Hier wäre aber zumindest theoretisch die Möglichkeit gegeben personenbezogene Daten einzusehen (d.h. in Form von Dateien welche mittels unserer Software im Dateisystem gespeichert sind), wenn überhaupt dann allerdings unbeabsichtigt.

    Nach § 11 Abs. 5 BDSG würde hier vermutlich trotzdem eine ADV vorliegen, auch wenn man sich mit gesundem Menschenverstand schon sehr "verbiegen" müsste um hier eine Auftragsdatenverarbeitung zu konstruieren. Aber die DSGVO könnte man hier evtl. etwas weicher auslegen. Z.B. sagt das BayLDA in [1]:
    Wartung und Fernzugriffe
    Weil die DS-GVO einschließlich der Erwägungsgründe keine § 11 Abs. 5 BDSG vergleichbare Regelung enthält (...) könnte [dies] bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und einer Anwendung von Art. 28 DS-GVO führen. (...)
    Das würde ich in meinem Fall ebenso sehen. Ähnlich sieht es z.B. auch Fr. Rammo auf Datenschutzbeauftragter-Info [2]:
    Stellungnahme
    Bei der Wartung und Prüfung von Soft- oder Hardwaresystemen handelt es sich nicht um eine Auftragsverarbeitung nach Art. 28 DSGVO. Diese Hilfstätigkeit bzw. technische Unterstützung betrifft im Kern nicht die Verarbeitung der personenbezogenen Daten. Vielmehr ist eine Verarbeitung von personenbezogenen Daten von den Parteien gar nicht gewollt. (...)
    Hintergrund meiner Frage ist die Anfrage eines unserer Kunden nach einer Vereinbarung zur Auftrags(daten)verarbeitung, die ich mit o.g. Argumentation aber gerne ablehnen würde. Ich möchte keine Vereinbarung abschließen aus der mir unnötige oder unangebrachte Verpflichtungen entstehen würden.

    Was meint ihr dazu? Freue mich auf jegliche Meinungen.

    Viele Grüße
    KTH

    [1] https://www.lda.bayern.de/media/bayl..._processor.pdf
    [2] https://www.datenschutzbeauftragter-...ach-der-dsgvo/

  2. #2
    Registriert seit
    07.04.2011
    Beiträge
    35

    Standard

    Hallo KTH,
    Ich denke, Sie werden nicht drum rum kommen, einen AVV–Vertrag abzuschließen.

    Grüße Josef

  3. #3
    Registriert seit
    17.04.2018
    Beiträge
    9

    Standard

    Hallo zusammen,
    ein ähnliches Problem habe ich auch. Gelegentlich kommt es vor, dass der Kunde technische Unterstützung benötigt, sei es im Hinblick auf ein Systemabsturz, einer Schulungsmaßnahme oder sonstigem technischen Support. Nun wurden wir auch gebeten, einen AV-Vertrag abzuschließen, da wir im Rahmen dieser Tätigkeiten personenbezogene Daten verarbeiten. Ist das wirklich so? Ist in solchen Fällen nicht eine Geheimhaltungsvereinbarung ausreichend?
    Viele Grüße
    DS-TT2018

  4. #4
    Registriert seit
    17.04.2018
    Beiträge
    9

    Standard

    Zitat Zitat von DS-TT2018 Beitrag anzeigen
    Hallo zusammen,
    ein ähnliches Problem habe ich auch. Gelegentlich kommt es vor, dass der Kunde technische Unterstützung benötigt, sei es im Hinblick auf ein Systemabsturz, einer Schulungsmaßnahme oder sonstigem technischen Support. Nun wurden wir auch gebeten, einen AV-Vertrag abzuschließen, da wir im Rahmen dieser Tätigkeiten personenbezogene Daten verarbeiten. Ist das wirklich so? Ist in solchen Fällen nicht eine Geheimhaltungsvereinbarung ausreichend?
    Viele Grüße
    DS-TT2018
    Ich habe noch ein Nachtrag, das Programm ist wartungsfrei.

  5. #5
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    3.054

    Standard

    Die deutschen Aufsichtsbehörden haben ihre Position zur Auftragsverarbeitung in einem Dokument "Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO" zusammengefaßt, https://www.lda.bayern.de/media/dsk_...rarbeitung.pdf.

    Die Frage wird auf Seite 3 "Wartung und Fernzugriffe" behandelt.

    In Kurzform: Zugriff auf p.b. Daten *möglich", dann Vertrag nötig, rein technisch (ohne Zugang/Zugriff) zu Systemen mit Daten, dann nicht nötig. Also "wie bisher".

    Ein Vertrag dürfte einfacher sein, als die Haltung der Behörden im Streitfall in Frage zu stellen. Auch wenn man einen größeren Kundenkreis hat.

  6. #6
    Registriert seit
    17.04.2018
    Beiträge
    9

    Standard

    Zitat Zitat von haderner Beitrag anzeigen
    Die deutschen Aufsichtsbehörden haben ihre Position zur Auftragsverarbeitung in einem Dokument "Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO" zusammengefaßt, https://www.lda.bayern.de/media/dsk_...rarbeitung.pdf.

    Die Frage wird auf Seite 3 "Wartung und Fernzugriffe" behandelt.

    In Kurzform: Zugriff auf p.b. Daten *möglich", dann Vertrag nötig, rein technisch (ohne Zugang/Zugriff) zu Systemen mit Daten, dann nicht nötig. Also "wie bisher".

    Ein Vertrag dürfte einfacher sein, als die Haltung der Behörden im Streitfall in Frage zu stellen. Auch wenn man einen größeren Kundenkreis hat.
    Hallo zusammen,
    grundsätzlich ist das klar. Jetzt ist mir aber der Leitfaden der Bitkom zur AV begegnet und da steht auf der Seite 22/23 folgendes zur Wartung und Prüfung von IT-Systemen, dass es sich um keine AV handelt sofern Gegenstand des Vertrages keine Verarbeitung ist, sondern sich auf den Support beschränkt. Selbst wenn nicht ausgeschlossen werden kann, dass durch die Systemprüfung personenenbezogenen Daten durch den IT-Dienstleister zur Kenntnis genommen werden. Ferner heißt es dort, dass die gesetzlichen Anforderungen an eine AV nicht zur Anwendung kommen bei z.B. Installation und Wartung von Netzwerken inkl. Telekommunikationsanlagen, Hardware und Pflege von Software., Programmentwicklungen und-anpassungen, Fehlersuche usw..
    Ich bin nun etwas verwirrt... Was gilt denn nun? Oder ist es eine Frage der Auslegung Ich finde, das ist ein ganz schwieriges Gebiet, aber wenn man es falsch macht.....
    Schon mal ein großes vorab!

  7. #7
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    3.054

    Standard

    Es ist die Auslegung der Behörden (und nicht des Interessensverbands Bitkom). Und wie ich oben zum möglichen Erstreiten schon schrub ...

  8. #8
    Registriert seit
    19.06.2018
    Beiträge
    1

    Standard

    Zuerst meinen Dank für die Bereitstellung des Forums hier und damit auch mein "Guten Tag" in die Runde.

    Als Softwarehersteller ist es bei uns das gleiche Thema mit der A(D)V.

    Auffallend ist, wenn Stellen aus "Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS" (siehe 1) zitiert und von Kunden an uns herangetragen werden (insbesondere "Wartung und Fernzugriffe" etc.), der dem zugrundliegende "Begriff des Auftragsverarbeiters" ungeklärt bleibt. Die Grundvoraussetzung also zur Anwendung dieser Verordnung fehlt bzw. ist nicht begründet.

    Sind wir Auftragsverarbeiter (siehe 2), braucht's den Vertrag. Sind wir es aber nicht, was gilt es dann evtl. zu regeln?

    Für uns stellte sich also die Frage, ob wir mit Äpfeln oder mit Birnen arbeiten?
    Unsere Kunden stellen uns aber überhaupt KEINE personenbezogenen Daten zur Verfügung, mit denen wir arbeiten sollen!
    Allein die Interessenslage ist hier schon vollkommen anders gelagert.

    Aus dem Grund haben wir z.B. die nachfolgende Mitteilung (Auszüge daraus) an unsere Kunden weitergegeben:
    "[...] Die zukünftige Supportdienstleistung im Bereich der Fernwartung bedarf nach Art. 28 DSGVO keiner zusätzlichen vertraglichen Erweiterung, da [Firma] weder Ihre Daten erhebt, verarbeitet oder nutzt.

    Die bestehende, vertraglich vereinbarte technische und inhaltliche Unterstützung betrifft nicht die Verarbeitung personenbezogener Daten. Die an uns gerichteten Anfragen entspringen vielmehr dem Wunsch nach Unterstützung, damit Sie als Anwender, Daten gemäß gesetzlichen und kaufmännischen Anforderungen verarbeiten können. Daher wird [Firma] nur auf explizite Weisung des Anwenders aktiv. Im Dienstleistungsvertrag sind Art und Umfang von Wartungsarbeiten geregelt.

    Alle [Firma]-Mitarbeiter unterliegen dabei von jeher einer Verschwiegenheitsvereinbarung.[...]"


    Ich habe dieses Vorgehen mit diversen DSB aus den Firmen abgestimmt und letztlich so festgehalten.
    Wichtig ist ja auch der Nachweis bzw. die Dokumentation in Sachen Datenschutz.

    Was überhaupt nicht geht, aus der Unsicherheit heraus Verträge mit Inhalten versehen, welche aus dem Zusammenhang gerissen und frei nach dem Motto "Lieber mehr als zu wenig" sind.

    So zumindest unsere Vorgehensweise in Bezug zu dem Thema hier.

    Viele Grüße
    Wolfgang

    Quellen:
    1) "Auftragsverarbeiter ist nach Art. 4 Nr. 8DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet." [...] Seite 1.

    2) "Art. 4 Nr. 8DS-GVO" Beschreibung der Begriffe "2. Verarbeitung" und "8. Auftragsverarbeiter" etc.

  9. #9
    Registriert seit
    07.06.2018
    Beiträge
    292

    Standard

    [QUOTE=Wolfgang O.;51555]
    Was überhaupt nicht geht, aus der Unsicherheit heraus Verträge mit Inhalten versehen, welche aus dem Zusammenhang gerissen und frei nach dem Motto "Lieber mehr als zu wenig" sind.

  10. #10
    Registriert seit
    07.06.2018
    Beiträge
    292

    Standard

    Hallo Wolfgang O.,
    diese Aussage unterschreibe ich sofort!

    Wir machen das hier ähnlich.
    Vielleicht habe ich das Thema zu simpel aufgefasst, aber mit der Rollenverteilung Controller-Processor, Controller-Controller und Joint Controllership sind mMn doch alle Beziehungsmuster abgedeckt. Je nachdem müssen dann Vereinbarungen getroffen werden.
    Wir schließen in den Fällen (in denen keine AV aber auch kein JC vorliegt) eine Vertraulichkeitsvereinbarung wenn gewünscht oder sinnvoll (manchmal halt auch als Hinweis, dass DS ein Thema ist). Die ist dann ähnlich wie eine Geheimhaltungserklärung aber mit dem Fokus auf Datenschutz.
    Die beiden anderen Vertragsregelungen machen doch nur dann Sinn, wenn solche Beziehungen tatsächlich vorliegen und Verantwortlichkeiten, Pflichten gegenüber den Betroffenen und auch Haftung verteilt werden müssen. Ansonsten ist es doch einfacher zu sagen der andere Controller muss sich ja auch an die DSGVO halten, das kontrolliert die ASB und eben nicht der Geschäftspartner.
    Bei AVV und JCV bin ich dem Vertragspartner gegenüber ja immer in Bring- und Holschuld.
    Vielleicht mag ich aber auch nur keine AVV mehr lesen und prüfen.
    Viele Grüße!

Ähnliche Themen

  1. Wartungs-ADV (§ 11 V) auch bei Zugriff auf Papierdaten?
    Von mrdsb14 im Forum AV Auftragsverarbeitung
    Antworten: 1
    Letzter Beitrag: 08.03.2016, 09:25
  2. Aufbewahrung Mitschnitte bei PC-Support
    Von Labladuk im Forum Datensicherheit, TOM, IT für den Datenschutz
    Antworten: 6
    Letzter Beitrag: 05.02.2015, 12:31
  3. Antworten: 2
    Letzter Beitrag: 02.01.2012, 07:39
  4. Sensibilisierung von Mitarbeitern im Hinblick auf Adressdaten bei einer ADV
    Von DFBlackPanther im Forum Aufgaben, Arbeitsmittel und -methoden
    Antworten: 6
    Letzter Beitrag: 28.02.2011, 08:58
  5. gelegentlicher Support per Remote auf Lohnprogramm = ADV §11?
    Von BetriebsDatenschützer im Forum AV Auftragsverarbeitung
    Antworten: 10
    Letzter Beitrag: 03.02.2011, 10:17

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •