Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 54

Ein Problem stellt sich im Bereich des sog. Application Management bzw. Application Maintenance als Unterfall des IT-Outsourcing. Hier stellt sich die Frage, ob der Dienstleister aus seiner vertraglichen Vereinbarung mit seinem Kunden, in aller Regel dem datenschutzrechtlich Verantwortlichen, verpflichtet ist, auf die Einhaltung der Vorgaben von Art. 25 DS-GVO bei den Software-Herstellern, deren Applikationen er vertragsgemäß wartet bzw. betreibt, hinzuwirken. Er selbst kann dies nicht leisten, weil er und sein Kunde regelmäßig nicht über die Resourcen verfügen. Im Verhältnis zum Endkunden dürfte eine solche Pflicht des Providers im Ergebnis nur dann zu bejahen sein, wenn er sich ihm gegenüber zur Gewährleistung von Datenschutz-Compliance als Bestandteil seiner Wartungs- bzw. Betriebsverpflichtung des IT-Outsourcingvertrages verpflichtet hat. Dies wird jedoch nur dann zu bejahen sein, wenn dies ausdrücklich vertraglich bestimmt ist, eine konkludente Verpflichtung kommt nicht in Betracht, da, wie ausgeführt, der Dienstleister selbst mangels Zugriff auf Resourcen diese Verpflichtung nicht aus sich heraus erfüllen kann und dementsprechend nicht davon ausgegangen werden kann, dass er dieses Risiko übernehmen will.