Viele, wenn nicht sogar nahezu alle Unternehmen setzen Multi-Funktionsgeräte zum Drucken, Kopieren, Scannen oder aus- und eingehende Faxe ein. Immer wieder kommt hier auch die Frage auf, ob bei der Fernwartung dieser Geräte die Voraussetzungen für Auftragsdatenverarbeitung gegeben sind.

ZUGRIFF AUF DATEN NICHT AUSGESCHLOSSEN

Solche Geräte haben nicht selten auch interne Speicher. Dies bedeutet folglich, dass bei Fernwartung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Ist dies der Fall unterliegen solche Fernwartungszugriffe dem § 11 Abs. 5 BDSG und bedürfen eines Auftragsdatenverarbeitungsvertrages entsprechend
Abs. 2 Satz 2 dieses Paragraphen. Dies gilt natürlich nicht nur für Fernwartung. Sollte ein Wartungstechniker zu Ihnen ins Unternehmen kommen um dort eigenständig die Wartung vorzunehmen und ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, sind die gleichen Bedingungen erfüllt und ein ADV-Vertrag unausweichlich.

BEI MIETENDE

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in seinem aktuellen Tätigkeitsbericht auch darauf hin, „dass die Löschung der Gerätespeicher in Multifunktionsgeräten bei Beendigung der Miete bzw. des Leasings eine Verpflichtung des Unternehmens als verantwortliche Stelle nach § 9 BDSG ist, was nach unseren Erfahrungen in der Praxis leider manchmal übersehen wird.“

VERTRAGSVORLAGE

Wer sich mit dem Thema Auftragsdatenverarbeitung schwer tut, oder nicht weiß was in solchen Verträgen alles geregelt werden muss, für den stellt die Aufsichtsbehörde auch ein Informationsblatt zur Verfügung, in dessen Rahmen auch eine optimale Vertragsvorlage integriert ist. Darin muss nur noch weniges an Infos zu dem jeweiligen Auftrag ergänzt werden um eine rechts- und datenschutzkonforme Auftragsdatenverarbeitung zu realisieren.
ACHTUNG: Wurde bei falscher oder fehlender ADV-Vertragsgestaltung in einem, Auftragsdatenverarbeitungsverhältnis bislang quasi nur der Auftraggeber zur Kasse gebeten, so ändert sich dies ab 2018 durch die kommende Datenschutzgrundverordnung: Art. 83 Abs. 4, 5 und 6 sprechen hier nämlich deutlich von Verstößen gegen die Pflichten des Verantwortlichen aber eben auch die des Auftragverarbeiters.