Fachartikel

Datenschutz bei der Fernwartung von IT-Systemen

Lagern Sie als Administrator die Wartung der unternehmenseigenen IT aus, kommen Fernwartungsverträge mit externen Dienstleistern ins Spiel. Hierbei sorgt eine umsichtige Vertragsgestaltung dafür, dass im besten Falle nicht nur Kosten gespart, sondern auch Verstöße gegen das Datenschutzgesetz vermieden werden. Dieser Beitrag befasst sich mit der datenschutzrechtlichen Einordnung von Fernwartungsverträgen und gibt Hinweise zu Vorgaben des BDSG, die bei dieser Art von Outsourcing zu berücksichtigen sind.
Auch beim Outsourcing ist es wichtig, Datenschutzbestimmungen einzuhalten
Zwar sind Fernwartungsverträge nach überwiegender Rechtsansicht weder als klassische Auftragsdatenverarbeitung (Auftragnehmer übernimmt weisungsgebundene Hilfstätigkeiten) noch als Funktionsübertragung (zumindest teilweise eigenverantwortliche Datenverarbeitung durch den Auftragnehmer) einzuordnen. Da gemäß § 11 Abs. 5 BDSG die Regelungen zur Auftragsdatenverarbeitung aber auch auf Prüfungs- und Wartungsverträge Anwendung finden – sofern dabei ein Zugriff auf personenbezogene Daten möglich ist – greift § 11 BDSG samt seiner umfassenden Vorgaben. Fernwartungsverträge unterliegen also wie die klassische Auftragsdatenverarbeitung den Vorgaben des § 11 BDSG. Dies hat zur Folge, dass bei Fernwartungsverträgen der jeweilige Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bleibt, also auch bei Verstößen des IT-Dienstleisters gegen Datenschutzbestimmungen haftet.

Auswirkungen der BDSG-Novellen
Im Rahmen der BDSG-Novelle II wurde als zentraler Punkt die Auftragsdatenverarbeitung in § 11 BDSG neu geregelt. Dieser greift immer dann, wenn gemäß § 11 Abs. 1 BDSG personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. In der seit 01.09.2009 geltenden Fassung des § 11 Abs. 2 S.2 BDSG ist ein verbindlicher (nicht abschließender) Zehn-Punkte-Katalog vorgegeben, der bei Verträgen zur Auftragsdatenverarbeitung, also gemäß § 11 Abs. 5 BDSG auch bei Fernwartungsverträgen, einzuhalten ist. Durch diesen Zehn-Punkte-Katalog sind bereits vor den Novellen bestehende Pflichten des Auftraggebers konkretisiert worden. So ist ein Auftrag zur Auftragsdatenverarbeitung stets schriftlich zu erteilen und muss diese Punkte beinhalten:
  1. Den Gegenstand und die Dauer des Auftrags,
  2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Auswahl und Kontrolle des IT-Dienstleisters
Im Rahmen von Fernwartungsverträgen haben IT-Dienstleister oftmals die Möglichkeit, über einen Remote-Zugang auf personenbezogene Daten des Auftraggebers zuzugreifen, die insoweit vor dem unberechtigten Zugriff durch den IT-Dienstleister zu schützen sind. § 11 Abs. 2 S.1 BDSG besagt, dass der Auftraggeber den IT-Dienstleister "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen" hat. Maßstab ist hier der je nach Art der betroffenen Daten erforderliche Schutzstandard (etwa bei Gesundheitsdaten). Der so ausgewählte Dienstleister ist nicht nur zu Beginn des Auftrages, sondern gemäß § 11 Abs. 2 S.4 BDSG regelmäßig auf die Einhaltung der getroffenen Maßnahmen hin zu überprüfen und das Ergebnis ist zu dokumentieren.




                                                Seite 1 von 2                     Nächste Seite>>


11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Mobiles Drucken [29.05.2018]

ThinPrint bringt sein neues Produkt 'ThinPrint Mobile Print' auf den Markt. Mit der Software können Unternehmen iOS- und Android-Geräte in ihre bestehende Druckinfrastruktur einbinden und Mitarbeiter alle vorhandenen Netzwerkdrucker nutzen. Nutzerberechtigungen werden automatisch aus dem Active Directory oder dem Druckserver übernommen und können bei Bedarf für den mobilen Einsatz erweitert oder eingeschränkt werden. [mehr]

Bessere Einblicke in große Netze [24.05.2018]

SolarWinds kündigt Aktualisierungen für sein Portfolio an Netzwerkmanagement-Produkten an. Diese können laut Hersteller nun bis zu viermal größere Netzwerke unterstützen als die vorherige Generation. IT-Experten sollen so von einer deutlich flexibleren Skalierbarkeit zur Unterstützung großer Rechenzentrumsnetzwerke mit wachsenden Workloads profitieren, aber auch von flexiblen Möglichkeiten der horizontalen Skalierung für komplexe verteilte Netzwerke. [mehr]

TeamViewer goes IoT [19.01.2018]

Tipps & Tools

Abhängigkeiten beim Monitoring setzen [12.07.2018]

Wer mit PRTG den Firmenhauptsitz und die angebundenen Niederlassungen vernetzt, dürfte dies in der Regel mit einem Site-to-Site-VPN tun. Fällt nun ein Knotenpunkt, beispielsweise die Firewall, in der Niederlassung aus, wechseln alle Sensoren des Standortes in den Status "Fehler" und erscheinen in Rot. Um hier für mehr Übersicht zu sorgen, gibt es in so einem Fall die Möglichkeit, alle abhängigen Geräte und Sensoren zu pausieren und nur den betroffenen Sensor in den Fehlerstatus zu versetzen. [mehr]

AIX-Server mit PRTG monitoren [1.07.2018]

Wer Linux-Server mit AIX betreibt, kann diese Server zum Monitoring nicht mit dem nativen SSH Disk Free Sensor von PRTG abfragen. Gerade Details über den Speicherplatz der bereitgestellten Volumes sind in der Regel aber sehr hilfreich. Erfreulicherweise gibt es eine andere Möglichkeit, diese Werte automatisiert auszulesen und in PRTG aufzubereiten. [mehr]

Buchbesprechung

VoIP Praxisleitfaden

von Jörg Fischer und Christian Sailer

Anzeigen