Seite 2 - Datenschutz bei der Fernwartung von IT-Systemen

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Datenschutz bei der Fernwartung von IT-Systemen

11.04.2011 - 00:00
Veröffentlicht in:
Technische und organisatorische Maßnahmen
Bei der vertraglichen Ausgestaltung von Fernwartungsverträgen sind insbesondere die gemäß § 11 Abs. 2 S.2 Nr.3 BDSG zu beachtenden technischen und organisatorischen Maßnahmen der Anlage zu § 9 Satz 1 BDSG relevant. Aus den dadurch erforderlichen Maßnahmen seien hier exemplarisch einige aufgeführt: Zunächst müssen Sie klare Regeln für den Zugriff durch den IT-Dienstleister auf die Systeme des Auftraggebers festlegen. Hierdurch verhindern Sie, dass Unberechtigte Zugriff auf Ihre Server als Auftraggeber erhalten (Zugangskontrolle, Nr. 2 der Anlage zu § 9 S.1 BDSG). Dies geschieht regelmäßig durch entsprechend eingestellte Firewalls. Im Idealfall blockieren diese sämtliche Zugriffe von außen auf das Unternehmensnetzwerk. Bei einer Fernwartung können entsprechende Ports zu einem vereinbarten Zeitpunkt beziehungsweise nach Anmeldung geöffnet werden. Nach Abschluss der Wartungsarbeiten sind diese wieder umgehend zu schließen.

Für den Auftragnehmer müssen Sie ein Wartungsprofil erstellen, so dass dieser nur im Rahmen seiner Berechtigungen auf die für ihn relevanten Systeme zugreifen kann (Zugriffskontrolle, Nr. 3 der Anlage zu § 9 S.1 BDSG). Die Zugriffe auf die Daten müssen protokolliert werden, wobei Sie die Manipulationssicherheit des Inhaltes der Protokolldateien durch wirksame Zugriffsbeschränkungen gewährleisten müssen. Die Protokollierung ist so zu gestalten, dass mit ihrer Hilfe jederzeit eine Überprüfung erfolgter Zugriffe und eine Auswertung der Protokolle, mit der unberechtigte Zugriffe festgestellt werden können, möglich ist (Eingabekontrolle, Nr. 5 der Anlage zu § 9 S.1 BDSG).

Oft keine vertragliche Regelung
Oftmals besteht zwischen den Parteien keine schriftliche Vereinbarung zum Datenschutz. Liegt eine solche doch vor, so ist diese in vielen Fällen nur mangelhaft ausgestaltet. Nicht selten ist die Floskel "Der Auftragnehmer hat die Vorschriften des BDSG, insbesondere des § 9 BDSG, zu beachten" anzutreffen. Teilweise findet sich auch ein Abdruck des § 9 BDSG samt Anlage zu § 9 S.1 BDSG. Auch wird innerhalb von Konzernen regelmäßig übersehen, dass ein datenschutzrechtliches Konzernprivileg nicht existiert. Daher müssen die Regelungen zur Auftragsdatenvereinbarung auch dann berücksichtigt werden, wenn es sich bei dem mit der Fernwartung beauftragten Unternehmen "nur" um eine andere Konzerngesellschaft handelt. Im Bereich der Auftragsdatenverarbeitung wurden zudem keine Übergangsregelungen getroffen, weshalb auch Altverträge an den seit 2009 geltenden Bestimmungen des § 11 BDSG zu messen sind.

Bußgeld bei Verstößen
Die BDSG-Novellen brachten eine Verschärfung der Bußgeldtatbestände mit sich und sanktionieren nun auch explizit Verstöße gegen § 11 BDSG. Kommt ein Auftraggeber beispielsweise bei der Beurteilung, ob die Vorgaben zur Auftragsverarbeitung einzuhalten sind, zu einem falschen Ergebnis, droht ihm gemäß § 43 Abs. 1 Nr.2b BDSG ein Bußgeld von bis zu 50.000 Euro; ebenso bei nicht ordnungsgemäßer Auswahl des IT-Dienstleisters. Außerdem ist zu beachten, dass der Auftraggeber als verantwortliche Stelle auch bei einem Verstoß des IT-Dienstleisters gegen Datenschutzbestimmungen haftet. Insoweit ist es riskant, wenn Unternehmen datenschutzrechtliche Vorgaben nicht oder nur unzureichend einhalten und sich somit neben einem etwaigen Reputationsverlust auch der Gefahr empfindlicher Bußgelder aussetzen.

Fazit
Die Fernwartung ist gemäß § 11 Abs. 5 BDSG als Auftragsdatenverarbeitung einzustufen. Neue Verträge sollten bereits bei deren Erstellung den datenschutzrechtlichen Anforderungen Rechnung tragen. Hierbei kann der Datenschutzbeauftragte oder der Berater für Datenschutz wertvolle Hilfe leisten, zumal gleichermaßen technische wie rechtliche Aspekte zu berücksichtigen sind. Unternehmen sind auch gut beraten, ihre bereits bestehenden Verträge zu prüfen und gegebenenfalls um eine entsprechende Zusatzvereinbarung zu ergänzen. Als erste Orientierung können Ihnen hierfür die zahlreichen, frei erhältlichen Musterverträge dienen. Da diese Vorlagen jedoch häufig relevante Punkte auslassen oder die aktuelle Rechtslage nicht berücksichtigen, ersetzen sie keine umfassende sach- und fachkundige Beratung. Hier ist also Vorsicht geboten, um Bußgelder sowie Imageschäden zu vermeiden. So lässt sich das Haftungsrisiko für eigene, aber auch für fremde Verstöße minimieren.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.


         <<Vorherige Seite                          Seite 2 von 2





dr/ln/Giovanni Brugugnone

Ähnliche Beiträge

Netzwerkverwaltung an der Medizinischen Universität Wien

Die IT-Abteilung der Medizinischen Universität Wien betreibt das Netzwerk der Universität, wozu die Betreuung von rund 10.000 Anschlüssen sowie Hunderten Endgeräten und Servern gehört. Für diese Aufgabe wurde eine neue Informations- und Planungssoftware für Kabelmanagement und Netzwerkdokumentation implementiert. Das neue Werkzeug ist flexibel, skalierbar und deckt die steigenden Sicherheitsanforderungen voll ab.

Zero-Touch-Provisionierung von aktiven Netzwerkkomponenten (3)

Zero-Touch-Provisionierungsprozesse sind im Rollout von Client-PCs und Servern bereits lange Zeit Standard. Im Gegensatz dazu kommen diese Prozesse bei aktiven Netzwerkkomponenten wie Routern und Switches nur selten zum Einsatz. Im dritten und letzten Teil gehen wir auf weitere Varianten ein, etwa die ZTP-Provisionierung ohne proprietären Server, die Boot-Loader-Variante iPXE oder das alte Verfahren AutoInstall.

Zero-Touch-Provisionierung von aktiven Netzwerkkomponenten (2)

Zero-Touch-Provisionierungsprozesse sind im Rollout von Client-PCs und Servern bereits lange Zeit Standard. Im Gegensatz dazu kommen diese Prozesse bei aktiven Netzwerkkomponenten wie Routern und Switches nur selten zum Einsatz. Im zweiten Teil der Workshopserie schildern wir den proprietären Cisco-Ansatz "Network-Plug-and-Play", der über eine GUI erfolgt und bei dem sich die ausgerollten Komponenten an die Gegebenheiten im Netzwerk anpassen lassen.