Open Source und Auftragsverarbeitung

Geschrieben von Jan Steinbach, veröffentlicht am 08.04.2021

Open Source (engl. Offene Quelle) bezeichnet Software, deren Quellcode transparent ist und von jedem geändert und genutzt werden kann. Da solche Programme meist kostenfrei zur Verfügung gestellt werden, sind sie aus ökonomischer Sicht besonders attraktiv. Hinzu kommt, dass informationstechnische Sicherheitsprobleme von jedem bemerkt und behoben werden können. In der Praxis wird daher nicht selten auf entsprechende Angebote zurückgegriffen.

Bedeutung für den Datenschutz

Wenn Open Source Produkte personenbezogene Daten verarbeiten, stellt sich die Frage nach dem für die Datenverarbeitung Verantwortlichen (Art. 4 Nr. 7 DSGVO) und ob es sich gegebenenfalls um eine Auftragsverarbeitung (Art. 4 Nr. 8 DSGVO) handelt. Grundsätzlich begründen die freie Zugänglichkeit und Nutzbarkeit der Software die alleinige datenschutzrechtliche Verantwortlichkeit desjenigen, der mittels des Programms personenbezogene Daten verarbeitet. Jenes Unternehmen, dass Open Source Produkte verwendet, um personenbezogene Daten zu verarbeiten, muss sich daher  z.B. die Technikgestaltung oder die datenschutz(un)freundlichen Voreinstellungen nach Art. 25 DSGVO zurechnen lassen. Open Source Produkte sind daher je nach Entwicklungsstand ein nicht unerhebliches Risiko im Hinblick auf die DSGVO-Compliance.

Es kann jedoch auch vorkommen, dass ein Auftragsverarbeiter seinerseits auf Open Source Produkte zurückgreift und die Daten des Verantwortlichen in dessen Auftrag unter Zuhilfenahme eines entsprechenden Programms verarbeitet. Praktisch ist dies z.B. dann der Fall, wenn der Auftragsverarbeiter selbst die Infrastruktur (z.B. in Form von Servern) zur Verfügung stellt. Hier kommt es auf den konkreten Auftragsinhalt an, der bestimmt, auf welche Tätigkeiten sich der Auftrag bezieht und ob die Nutzung des Open Source Produkts in die Zuständigkeit des Verantwortlichen oder die des Auftragnehmers fällt.

Fazit

Wer als Verantwortlicher die Datenverarbeitung über ein Open Source Produkt vornimmt, handelt regelmäßig eigenverantwortlich und muss zusehen, dass das Programm angemessene technische und organisatorische Maßnahmen zur Datensicherheit aufweist. Das gilt auch für den Auftragsverarbeiter, der sich zur Auftragsverarbeitung eines entsprechenden Programms bedient. Wie die Zuständigkeit im Einzelnen zum Verantwortlichen verteilt ist, muss sich dann aus dem Leistungsvertrag ergeben. Eine Auftragsverarbeitung zwischen der verarbeitenden Stelle und dem Open Source Produkt liegt daher regelmäßig nicht vor.