Fachartikel

Datenschutz bei der Fernwartung von IT-Systemen

Lagern Sie als Administrator die Wartung der unternehmenseigenen IT aus, kommen Fernwartungsverträge mit externen Dienstleistern ins Spiel. Hierbei sorgt eine umsichtige Vertragsgestaltung dafür, dass im besten Falle nicht nur Kosten gespart, sondern auch Verstöße gegen das Datenschutzgesetz vermieden werden. Dieser Beitrag befasst sich mit der datenschutzrechtlichen Einordnung von Fernwartungsverträgen und gibt Hinweise zu Vorgaben des BDSG, die bei dieser Art von Outsourcing zu berücksichtigen sind.
Auch beim Outsourcing ist es wichtig, Datenschutzbestimmungen einzuhalten
Zwar sind Fernwartungsverträge nach überwiegender Rechtsansicht weder als klassische Auftragsdatenverarbeitung (Auftragnehmer übernimmt weisungsgebundene Hilfstätigkeiten) noch als Funktionsübertragung (zumindest teilweise eigenverantwortliche Datenverarbeitung durch den Auftragnehmer) einzuordnen. Da gemäß § 11 Abs. 5 BDSG die Regelungen zur Auftragsdatenverarbeitung aber auch auf Prüfungs- und Wartungsverträge Anwendung finden – sofern dabei ein Zugriff auf personenbezogene Daten möglich ist – greift § 11 BDSG samt seiner umfassenden Vorgaben. Fernwartungsverträge unterliegen also wie die klassische Auftragsdatenverarbeitung den Vorgaben des § 11 BDSG. Dies hat zur Folge, dass bei Fernwartungsverträgen der jeweilige Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bleibt, also auch bei Verstößen des IT-Dienstleisters gegen Datenschutzbestimmungen haftet.

Auswirkungen der BDSG-Novellen
Im Rahmen der BDSG-Novelle II wurde als zentraler Punkt die Auftragsdatenverarbeitung in § 11 BDSG neu geregelt. Dieser greift immer dann, wenn gemäß § 11 Abs. 1 BDSG personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. In der seit 01.09.2009 geltenden Fassung des § 11 Abs. 2 S.2 BDSG ist ein verbindlicher (nicht abschließender) Zehn-Punkte-Katalog vorgegeben, der bei Verträgen zur Auftragsdatenverarbeitung, also gemäß § 11 Abs. 5 BDSG auch bei Fernwartungsverträgen, einzuhalten ist. Durch diesen Zehn-Punkte-Katalog sind bereits vor den Novellen bestehende Pflichten des Auftraggebers konkretisiert worden. So ist ein Auftrag zur Auftragsdatenverarbeitung stets schriftlich zu erteilen und muss diese Punkte beinhalten:
  1. Den Gegenstand und die Dauer des Auftrags,
  2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Auswahl und Kontrolle des IT-Dienstleisters
Im Rahmen von Fernwartungsverträgen haben IT-Dienstleister oftmals die Möglichkeit, über einen Remote-Zugang auf personenbezogene Daten des Auftraggebers zuzugreifen, die insoweit vor dem unberechtigten Zugriff durch den IT-Dienstleister zu schützen sind. § 11 Abs. 2 S.1 BDSG besagt, dass der Auftraggeber den IT-Dienstleister "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen" hat. Maßstab ist hier der je nach Art der betroffenen Daten erforderliche Schutzstandard (etwa bei Gesundheitsdaten). Der so ausgewählte Dienstleister ist nicht nur zu Beginn des Auftrages, sondern gemäß § 11 Abs. 2 S.4 BDSG regelmäßig auf die Einhaltung der getroffenen Maßnahmen hin zu überprüfen und das Ergebnis ist zu dokumentieren.




                                                Seite 1 von 2                     Nächste Seite>>


11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Mehr Speed beim Virtualisieren unter macOS [11.08.2020]

Parallels stellt Version 16 von Parallels Desktop für Mac vor. Dabei hat der Anbieter das Design überarbeitet und den neuen macOS Big Sur angepasst. Außerdem soll es eine bessere Grafikleistung sowie eine Vielzahl neuer integrierter Funktionen bieten, etwa die laut Parallels weltweit erstmalige Unterstützung von Metal-Programmen mit 3D-Funktionen, die in einer virtuellen macOS-Big-Sur-Maschine laufen. Zudem verspricht der Hersteller Leistungsverbesserungen wie einen doppelt so schnellen Start, ein um bis zu 20 Prozent schnelleres Fortsetzen und Herunterfahren von Windows sowie schnelleres DirectX. [mehr]

Netzwerkfehler schnell auffinden [22.06.2020]

Allegro Packets erweitert seine Produktfamilie der Network Multimeter für die Fehlersuche und Netzwerkanalyse mit den Modellen "1330", "3300" und "5300". Die x300-Serie verspricht hohe Leistung, die beim Allegro 5300 eine Analyserate von bis zu 100 GBit/s ermöglichen sollen. [mehr]

Tipps & Tools

WiFi-Netzwerke im Überblick [16.01.2021]

In größeren Unternehmen müssen Netzwerk-Admins gegebenenfalls mehrere WiFi-Umgebungen einrichten. Nach der Installation der Router ist es wichtig, die Netzwerkkonfiguration zu überprüfen. Hier kann das kostenfreie Tool "WifiInfoView" weiterhelfen, das neben der SSID aller funkenden WLAN-Netze auch die eingesetzte Verschlüsselung sowie Router mitsamt Hersteller anzeigt. [mehr]

Vorschau Januar 2021: Infrastruktur- und Assetmanagement [21.12.2020]

Die IT-Landschaften in Unternehmen werden zunehmend komplexer und dynamischer. Dieser Trend dürfte auch im neuen Jahr anhalten. Zum Jahresauftakt beleuchtet IT-Administrator daher den Schwerpunkt "Infrastruktur- und Assetmanagement". So zeigen wir unter anderem, wie Sie Red Hat Satellite 6.7 in Betrieb nehmen und Ihre Systeme damit verwalten. Außerdem erfahren Sie, wie Sie Systemausfälle mit dem Spiceworks Connectivity Dashboard frühzeitig erkennen und Netzwerkadapter über die PowerShell steuern. In den Produkttests werfen wir einen Blick auf die Inventarisierung mit LOGINventory 8. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen