In der Praxis zeigt sich regelmäßig, dass Dienstleister im Bereich Softwareentwicklung im Generalverdacht stehen, automatisch als Auftragsverarbeiter gemäß Art 4 Z 8 der DSGVO zu gelten.
Ob dies aber tatsächlich der Fall ist, kommt auf den Einzelfall und den konkreten Auftrag sowie die Konstellation der Zusammenarbeit bzw. der Lieferung der Software an.
Zweifelsohne sind Softwaredienstleister in vielen Fällen als Auftragsverarbeiter zu qualifizieren, allerdings ist nicht jeder Softwaredienstleister im Zusammenhang mit Softwareentwicklung automatisch ein Auftragsverarbeiter. Welche Aspekte hierbei eine Rolle spielen, haben wir im folgenden Artikel zusammengefasst:
Alle Aspekte übersichtlich in einem Whitepaper zusammengefasst!
Wir verschaffen Klarheit und beleuchten die wichtigsten Punkte!
1. Auftrag
Ob sich ein Softwaredienstleister als Auftragsverarbeiter qualifiziert, hängt maßgeblich vom Auftrag, den der Verantwortliche dem Dienstleister erteilt, ab.
Zielt der Auftragsgegenstand auf die Verarbeitung von personenbezogenen Daten gemäß Art 4 Z 1 der DSGVO durch den Dienstleister im Auftrag des Verantwortlichen ab, so ist die Sache klar. Ist der Kern des Auftrages jedoch die Lieferung von individueller Software, die der Dienstleister auf Auftrag des Verantwortlichen entwickelt, begründet dies alleine keine Auftragsverarbeitung nach DSGVO bzw. Datenschutzgesetz. Maßgeblich ist daher der Auftrag und die Leistung, die der Dienstleister schuldet, auch wenn im Zuge der Geschäftsanbahnung und in weiterer Folge der Vertragserfüllung, wie im Übrigen in so gut wie jeder anderen Geschäftsbeziehung, ein Austausch von personenbezogenen Daten erfolgt.
Die bloße Speicherung bzw. Verarbeitung von personenbezogenen Daten von Ansprechpartnern, z.B.: um einen Auftrag anzulegen, eine Rechnung zu schreiben oder einen Vertrag abzuwickeln, begründet keine Auftragsverarbeitung. In diesem Fall erfolgt die Speicherung von personenbezogenen Daten nicht im Auftrag des Verantwortlichen, sondern zum Zwecke der Geschäftsanbahnung, der Durchführung des Auftrages, der Erfüllung gesetzlicher Anforderungen des Dienstleisters in seiner Rolle als Verantwortlicher gemäß Art 4 Z 7 der DSGVO.
An dieser Stelle greifen für den Schutz personenbezogener Daten daher die Rechte und Pflichten des Dienstleisters als Verantwortlicher und nicht als Auftragsverarbeiter. Andernfalls würde für jede Geschäftsbeziehung der Abschluss eines Auftragsverarbeitervertrages nach Art 28 DSGVO notwendig sein, wenn der auftragsbegleitende Austausch von personenbezogenen Daten dies alleine bereits begründen würde.
Fazit:
Ein Auftragsverarbeiter im Sinne der DSGVO ist ein Geschäftspartner daher erst dann, wenn seine Leistung im Kern dazu geschaffen und angeboten wird, personenbezogene Daten des Auftraggebers (Verantwortlichen) zu verarbeiten und somit die Leistung dadurch charakterisiert ist. Ist die Datenverarbeitung hingegen eine „bloße Begleiterscheinung“ zur eigentlichen Dienstleistung, liegt für die (agile) Softwareentwicklung alleine kein Auftragsverarbeiterverhältnis vor.
2. Lieferung bzw. Bereitstellung
Für die Leistungserbringung der Entwicklung von Software kommen entsprechende Tools und Frameworks im Zusammenhang mit einer Entwicklungs- und Testumgebung zum Einsatz, die im Wesentlichen die Codeversionierung (z.B. Git), die Bereitstellung der Anwendung (z.B. via Docker) und die Orchestrierung von unterschiedlichen Systemumgebungen (z.B.: Kubernetes) unterstützen. In der Regel kann davon ausgegangen werden, dass in den Test- und Entwicklungsumgebungen keine personenbezogenen Daten (Echtdaten) verarbeitet werden, da diese ausschließlich der Entwicklung, dem Test und der Bereitstellung von Software bzw. einer Anwendung dienen und somit keine Verarbeitung von personenbezogenen Daten erfolgt.
Beim Delivery Modell ist im Einzelfall zu prüfen, insbesondere wenn der Dienstleister die Test- und Entwicklungsumgebung des Auftraggebers (z.B: via Fernzugang) nutzt, inwiefern ausgeschlossen werden kann (z.B.: durch entsprechende technische Maßnahmen), dass der Dienstleister bzw. Softwareentwicklungs-Partner Zugriff bzw. „Einblicke“ auf personenbezogene Daten erlangen kann. Im Falle, dass bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, vertritt die herrschende Lehre die Ansicht, dass ein Auftragsverarbeiterverhältnis vorliegt.
Fazit:
Wird die entwickelte und getestete Software bzw. die laufenden Software Inkremente lediglich aus der Test- und Entwicklungsumgebung des Auftragnehmers auf eine weitere Testumgebung des Auftraggebers automatisiert “deployed”, ohne dass ein weitergehender Zugriff des Dienstleisters auf die Systemumgebungen des Auftraggebers bzw. der Zugang auf nicht verschlüsselte, anonymisierten oder pseudonymisierten personenbezogenen Daten des Auftraggebers möglich ist, wird keine Auftragsverarbeitung vorliegen.
Für die Entwicklung von Individualsoftware für den Auftraggeber, ohne im Anschluss auch die Wartung zu übernehmen, ist also in der Regel kein Auftragsverarbeiterverhältnis gegeben, weil gar keine personenbezogene Daten verarbeitet werden.
3. Betrieb und Wartung
Anders stellt sich die Sache dar, wenn der Softwareentwicklungs-Partner auch den Betrieb der entwickelten Lösung oder ein Managed Service (Anwendungssupport), in der sich personenbezogenen Daten des Auftraggebers befinden (z.B. Mitarbeiter, Kunden, Lieferanten, etc.), anbietet und dies seitens des Auftraggebers beauftragt wird. In diesem Fall zielt der Auftrag in seinem Zweck und Inhalt auf die Verarbeitung von personenbezogenen Daten des Auftraggebers (Verantwortlichen) ab und der Dienstleister ist in diesem Zusammenhang für die beauftragten Betriebsleistungen als Auftragsverarbeiter zu qualifizieren.
Im Kontext der Wartung ist ebenso darauf abzustellen, ob der Dienstleister in Zusammenhang mit seinen Wartungsdienstleistungen etwa über einen Fernzugang Einblicke zu personenbezogenen Daten des Auftraggebers erlangen kann. Werden bei der technischen Wartung regelmäßig personenbezogene Daten nur peripher verarbeitet, ist ein Auftragsverarbeiterverhältnis zu verneinen. Dies gilt auch dann, wenn der Dienstleister telefonischen Support bzw. technische Unterstützung im Zuge des 3rd Level Supports anbietet und ansonsten keinen Zugriff auf ein Produktivsystem oder einem produktionsnahen System mit personenbezogenen Daten des Auftraggebers erhält. Auch hier sind der Auftragsgegenstand und die darüber hinausgehende Möglichkeit des Zugangs zu personenbezogenen Daten wesentlich.
Die Verarbeitung von personenbezogenen Daten beispielsweise im einem Support Ticket System des Auftragnehmers zur Vertragserfüllung des Support Vertrags bringt den Dienstleister in der Regel in die Rolle des Verantwortlichen und begründet somit alleine keine Auftragsverarbeitung.
Fazit:
Übernimmt der Softwareentwicklungs-Partner, auch den Betrieb der entwickelten Lösung oder den Anwendungssupport, in der sich personenbezogenen Daten des Auftraggebers befinden ist der Dienstleister in diesem Zusammenhang für die beauftragten Betriebsleistungen als Auftragsverarbeiter zu qualifizieren. Bei der Wartung ist es relevant, ob der Dienstleister in Zusammenhang mit seinen Wartungsdienstleistungen Einblicke zu personenbezogenen Daten des Auftraggebers erlangen kann.
6 Fragestellungen, die Ihnen Klarheit schaffen, ob eine Auftragsverarbeitung gemäß der DSGVO vorliegt!
Hier geht's zum Whitepaper „DSGVO - Softwareentwicklung“.
