Müssen Softwareanbieter einen DSGVO-Auftragsverarbeitervertrag abschließen?

Softwaredienstleister unterliegen dem Generalverdacht, als Auftragsverarbeiter im Sinne der DSGVO qualifiziert zu werden. Ob dies tatsächlich immer der Fall ist, lesen Sie in diesem Artikel.

Sind alle Softwaredienstleister Auftragsverarbeiter?

Ohne Zweifel sind Softwaredienstleister in vielen Fällen als Auftragsverarbeiter zu qualifizieren. Bereits das Datenschutzgesetz 1978 hatte Softwaredienstleister im Auge, als es davon sprach, dass Dienstleister Rechtsträger sind, deren „wesentlicher Inhalt die automationsunterstützte Verarbeitung…(von) Daten ist“. Allerdings ist nicht jeder Softwaredienstleister ein Auftragsverarbeiter! Es kommt stets auf den Einzelfall an.

Was ist der Kern der Dienstleistung?

Für die Qualifikation als Auftragsverarbeiter ist maßgeblich, dass dieser im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Natürlich ist so gut wie jede Geschäftsbeziehung mit einem Austausch von personenbezogenen Daten verbunden. Beispielsweise muss eine Rechnung erstellt oder ein Ansprechpartner kontaktiert werden. Das bedeutet aber nicht, dass jede Geschäftsbeziehung den Abschluss eines Auftragsverarbeitervertrags nach Art 28 DSGVO bedingt. Ein Auftragsverarbeiter im Sinne der DSGVO ist ein Geschäftspartner vielmehr erst dann, wenn seine Leistung im Kern geradezu dadurch charakterisiert ist, personenbezogene Daten zu verarbeiten. Ist die Datenverarbeitung hingegen eine bloße „Begleiterscheinung“ zur eigentlichen Dienstleistung, ist von keinem Auftragsverarbeiterverhältnis auszugehen.

Fokus IT-Dienstleister

Variante “On Premise”: Verkauft oder vermietet das Softwareunternehmen eine Standardsoftware als On Premise-Variante, liegt regelmäßig kein Auftragsverarbeiterverhältnis vor, weil gar keine personenbezogene Daten verarbeitet werden. Im Falle der “On Premise Variante” werden die personenbezogenen Daten nämlich auf eigenen Servern gespeichert.

Variante “SaaS”: Bei cloudbasierten Software-as-a-Service-Verträgen ist hingegen ein Auftragsverarbeiterverhältnis regelmäßig sehr wohl anzunehmen. Dies deshalb, weil im Gegensatz zur Variante “On Premise”, das Softwareunternehmen die personenbezogenen Daten speichert und somit verarbeitet im Sinne der DSGVO. Dienstleister, die Backup-Sicherungsspeicherungen vornehmen, sind ebenfalls als Auftragsverarbeiter zu qualifizieren. Generell werden Webapplikationen in der Regel den Abschluss eines Auftragsverarbeitervertrages erfordern. Bei SaaS-Modellen werden die personenbezogenen Daten auf externen Servern gespeichert.

Variante “bloßer Wartungsvertrag”: In der Praxis stellt sich häufig folgende Frage: Liegt ein Auftragsverarbeiteverhältnis vor, wenn personenbezogenen Daten zwar auf dem eigenen Server on premise gespeichert werden, das IT-Unternehmen aber im Zuge von Wartungsdienstleistungen über einen Fernzugang „Einblicke“ erlangen kann?

Die herrschende Meinung vertritt in diesem Fall die Ansicht, dass bei externem Support (Fernwartung, Remote-Zugriff) ein Aufttagsverarbeiterverhältnis vorliegt. Dies gilt zumindest dann, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Sollte daher vereinbart sein, dass ein Fernzugang nur bei ständiger Anwesenheit eines Mitarbeiters des Verantwortlichen möglich ist, dann sprechen Argumente dafür, ein Auftragsverarbeiterverhältnis zu verneinen.

Achtung: Die Frage der Notwendigkeit eines Auftragsverarbeitervertrages stellt sich nur dann, wenn personenbezogene Daten verarbeitet werden. Wenn also Daten verarbeitet werden, die (ausschließlich) einer Maschine oder einem Unternehmen zuzuordnen sind, ist kein Auftragsverarbeitervertrag abzuschließen.

‍