Fachartikel

Datenschutz bei der Fernwartung von IT-Systemen

Lagern Sie als Administrator die Wartung der unternehmenseigenen IT aus, kommen Fernwartungsverträge mit externen Dienstleistern ins Spiel. Hierbei sorgt eine umsichtige Vertragsgestaltung dafür, dass im besten Falle nicht nur Kosten gespart, sondern auch Verstöße gegen das Datenschutzgesetz vermieden werden. Dieser Beitrag befasst sich mit der datenschutzrechtlichen Einordnung von Fernwartungsverträgen und gibt Hinweise zu Vorgaben des BDSG, die bei dieser Art von Outsourcing zu berücksichtigen sind.
Auch beim Outsourcing ist es wichtig, Datenschutzbestimmungen einzuhalten
Zwar sind Fernwartungsverträge nach überwiegender Rechtsansicht weder als klassische Auftragsdatenverarbeitung (Auftragnehmer übernimmt weisungsgebundene Hilfstätigkeiten) noch als Funktionsübertragung (zumindest teilweise eigenverantwortliche Datenverarbeitung durch den Auftragnehmer) einzuordnen. Da gemäß § 11 Abs. 5 BDSG die Regelungen zur Auftragsdatenverarbeitung aber auch auf Prüfungs- und Wartungsverträge Anwendung finden – sofern dabei ein Zugriff auf personenbezogene Daten möglich ist – greift § 11 BDSG samt seiner umfassenden Vorgaben. Fernwartungsverträge unterliegen also wie die klassische Auftragsdatenverarbeitung den Vorgaben des § 11 BDSG. Dies hat zur Folge, dass bei Fernwartungsverträgen der jeweilige Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bleibt, also auch bei Verstößen des IT-Dienstleisters gegen Datenschutzbestimmungen haftet.

Auswirkungen der BDSG-Novellen
Im Rahmen der BDSG-Novelle II wurde als zentraler Punkt die Auftragsdatenverarbeitung in § 11 BDSG neu geregelt. Dieser greift immer dann, wenn gemäß § 11 Abs. 1 BDSG personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. In der seit 01.09.2009 geltenden Fassung des § 11 Abs. 2 S.2 BDSG ist ein verbindlicher (nicht abschließender) Zehn-Punkte-Katalog vorgegeben, der bei Verträgen zur Auftragsdatenverarbeitung, also gemäß § 11 Abs. 5 BDSG auch bei Fernwartungsverträgen, einzuhalten ist. Durch diesen Zehn-Punkte-Katalog sind bereits vor den Novellen bestehende Pflichten des Auftraggebers konkretisiert worden. So ist ein Auftrag zur Auftragsdatenverarbeitung stets schriftlich zu erteilen und muss diese Punkte beinhalten:
  1. Den Gegenstand und die Dauer des Auftrags,
  2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Auswahl und Kontrolle des IT-Dienstleisters
Im Rahmen von Fernwartungsverträgen haben IT-Dienstleister oftmals die Möglichkeit, über einen Remote-Zugang auf personenbezogene Daten des Auftraggebers zuzugreifen, die insoweit vor dem unberechtigten Zugriff durch den IT-Dienstleister zu schützen sind. § 11 Abs. 2 S.1 BDSG besagt, dass der Auftraggeber den IT-Dienstleister "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen" hat. Maßstab ist hier der je nach Art der betroffenen Daten erforderliche Schutzstandard (etwa bei Gesundheitsdaten). Der so ausgewählte Dienstleister ist nicht nur zu Beginn des Auftrages, sondern gemäß § 11 Abs. 2 S.4 BDSG regelmäßig auf die Einhaltung der getroffenen Maßnahmen hin zu überprüfen und das Ergebnis ist zu dokumentieren.




                                                Seite 1 von 2                     Nächste Seite>>


11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

TeamViewer goes IoT [19.01.2018]

TeamViewer bringt TeamViewer IoT auf den Markt. Die Software kombiniert die Fernzugriffs- und Fernsteuerungsfunktionen von TeamViewer mit Monitoring-Funktionen. TeamViewer IoT unterstützt Raspbian, kann aber laut Hersteller problemlos auf andere Linux-Distributionen portiert werden. An der Unterstützung weiterer IoT-Plattformen würde bereits gearbeitet. [mehr]

Alles unter einem Dach [30.11.2017]

Von Hewlett Packard Enterprise kommt mit 'HPE OneSphere' eine Multi-Cloud-Management-Lösung für Public Cloud, Private Cloud und Software-definierte Infrastrukturen. Das SaaS-Portal gibt Kunden einen einheitlichen Zugang zu einem Pool von IT-Ressourcen, der sowohl externe Cloud-Plattformen als auch die eigene, lokal betriebene IT-Umgebung umfasst. [mehr]

Tipps & Tools

ZFS-Mirror mit pfSense nutzen [21.01.2018]

Die Open-Source-Firewall pfSense unterstützt neben UFS auch das ZFS-Dateisystem. Seit pfSense Version 2.4 ist es möglich, bereits bei der Installation ein ZFS-Dateisystem zu erstellen und damit beispielsweise einen ZFS-n-Way-Mirror anzulegen. Dieser spiegelt die Daten wie bei einem RAID 1 auf alle installierten Festplatten. Bei der Installation von pfSense und für die Überwachung des Mirrors sind jedoch einige Dinge zu beachten. [mehr]

WLAN-Controller von Cisco mit PRTG monitoren [21.12.2017]

In vielen Unternehmen kommen im drahtlosen Netzwerk unter anderem WLAN-Controller von Cisco zum Einsatz. Wer außerdem den PRTG Network Monitor zur Netzwerküberwachung nutzt, hat das Problem, dass es keine fertigen Sensoren für die Cisco-Controller gibt und das Aufsetzen eigener Sensoren anhand der Cisco-MIBs nicht gerade trivial ist. Es existiert jedoch eine einfachere Möglichkeit, Cisco-Appliances mit PRTG zu überwachen. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen