Hinweise des Sächsischen Datenschutzbeauftragten: IT- Dienstleister und Hinweispflicht für Behörden nach Art. 14 DS-GVO
Der Sächsische Datenschutzbeauftrage veröffentlicht auf seiner Internetpräsenz Beiträge zu Antworten auf häufig gestellte Fragen. Daher lohnt sich ein regelmäßiger Besuch. Auf Folgende Auskünfte möchten wir Sie hier hinweisen:
Zum einen ging es um die Frage, wann bei einer IT-Wartung ein Fall der Auftragsverarbeitung nach Art. 28 DS-GVO vorliegt. Wenn die IT-Wartung oder Fernwartung Gegenstand des Vertrages zwischen einem Verantwortlichen und einem Auftragsverarbeiter ist und in diesem Rahmen für den Dienstleister die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten besteht, handele es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung. Daher seien die Anforderungen des Art. 28 DS-GVO entsprechend umzusetzen. Anders sei dies bei einer rein technischen Wartung der Infrastruktur einer IT durch einen Dienstleister (zum Beispiel Arbeiten an Stromzufuhr, Kühlung oder Heizung). Diese Arbeiten würden nicht zu einer Qualifikation des Dienstleisters als Auftragsverarbeiter führen. Da Arbeiten von IT-Dienstleistern aber in den meisten Fällen dazu führen dürften, dass ein Zugriff auf personenbezogene Daten ermöglicht wird, empfehlen wir, mit den IT-Dienstleistern Verträge über die Auftragsverarbeitung entsprechend Art. 28 Abs. 3 und 4 DS-GVO abzuschließen.
Zum anderen ging es um die Frage, ob Behörden, die personenbezogene Daten bei Dritten erheben oder im Rahmen einer nicht auf eine Erhebung zielenden Tätigkeit in sonstiger Weise erlangen, den Informationspflichten nach Art. 14 Abs. 1 bis 3 DS-GVO nachkommen müssen. Art. 14 DS-GVO verpflichtet den Verantwortlichen, an die betroffene Person bestimmte Informationen zu erteilen, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden. Bei einer Datenerhebung durch Behörden geht der Sächsische Datenschutzbeauftragte allerdings davon aus, dass diese Informationspflicht in der Regel nicht besteht, da die Ausnahmevorschrift des Art. 14 Abs. 5 lit. c) DS-GVO eingreife. Danach finden die Regelungen zu den Informationspflichten in Art. 14 Abs. 1 bis 4 DS-GVO keine Anwendung, wenn die Erlangung der Daten durch Rechtsvorschriften der Union oder der Mitgliedstaaten ausdrücklich geregelt ist und diese geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Personen vorsehen. Dies sei in der Regel bei Rechtsvorschriften, die die Tätigkeit von Behörden regeln, der Fall. Daher brauche eine Behörde in der Regel keine Informationspflichten nach Art. 14 Abs. 1 bis 3 DS-GVO zu erfüllen.
