Fachartikel

Datenschutz bei der Fernwartung von IT-Systemen

Lagern Sie als Administrator die Wartung der unternehmenseigenen IT aus, kommen Fernwartungsverträge mit externen Dienstleistern ins Spiel. Hierbei sorgt eine umsichtige Vertragsgestaltung dafür, dass im besten Falle nicht nur Kosten gespart, sondern auch Verstöße gegen das Datenschutzgesetz vermieden werden. Dieser Beitrag befasst sich mit der datenschutzrechtlichen Einordnung von Fernwartungsverträgen und gibt Hinweise zu Vorgaben des BDSG, die bei dieser Art von Outsourcing zu berücksichtigen sind.
Auch beim Outsourcing ist es wichtig, Datenschutzbestimmungen einzuhalten
Zwar sind Fernwartungsverträge nach überwiegender Rechtsansicht weder als klassische Auftragsdatenverarbeitung (Auftragnehmer übernimmt weisungsgebundene Hilfstätigkeiten) noch als Funktionsübertragung (zumindest teilweise eigenverantwortliche Datenverarbeitung durch den Auftragnehmer) einzuordnen. Da gemäß § 11 Abs. 5 BDSG die Regelungen zur Auftragsdatenverarbeitung aber auch auf Prüfungs- und Wartungsverträge Anwendung finden – sofern dabei ein Zugriff auf personenbezogene Daten möglich ist – greift § 11 BDSG samt seiner umfassenden Vorgaben. Fernwartungsverträge unterliegen also wie die klassische Auftragsdatenverarbeitung den Vorgaben des § 11 BDSG. Dies hat zur Folge, dass bei Fernwartungsverträgen der jeweilige Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bleibt, also auch bei Verstößen des IT-Dienstleisters gegen Datenschutzbestimmungen haftet.

Auswirkungen der BDSG-Novellen
Im Rahmen der BDSG-Novelle II wurde als zentraler Punkt die Auftragsdatenverarbeitung in § 11 BDSG neu geregelt. Dieser greift immer dann, wenn gemäß § 11 Abs. 1 BDSG personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. In der seit 01.09.2009 geltenden Fassung des § 11 Abs. 2 S.2 BDSG ist ein verbindlicher (nicht abschließender) Zehn-Punkte-Katalog vorgegeben, der bei Verträgen zur Auftragsdatenverarbeitung, also gemäß § 11 Abs. 5 BDSG auch bei Fernwartungsverträgen, einzuhalten ist. Durch diesen Zehn-Punkte-Katalog sind bereits vor den Novellen bestehende Pflichten des Auftraggebers konkretisiert worden. So ist ein Auftrag zur Auftragsdatenverarbeitung stets schriftlich zu erteilen und muss diese Punkte beinhalten:
  1. Den Gegenstand und die Dauer des Auftrags,
  2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Auswahl und Kontrolle des IT-Dienstleisters
Im Rahmen von Fernwartungsverträgen haben IT-Dienstleister oftmals die Möglichkeit, über einen Remote-Zugang auf personenbezogene Daten des Auftraggebers zuzugreifen, die insoweit vor dem unberechtigten Zugriff durch den IT-Dienstleister zu schützen sind. § 11 Abs. 2 S.1 BDSG besagt, dass der Auftraggeber den IT-Dienstleister "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen" hat. Maßstab ist hier der je nach Art der betroffenen Daten erforderliche Schutzstandard (etwa bei Gesundheitsdaten). Der so ausgewählte Dienstleister ist nicht nur zu Beginn des Auftrages, sondern gemäß § 11 Abs. 2 S.4 BDSG regelmäßig auf die Einhaltung der getroffenen Maßnahmen hin zu überprüfen und das Ergebnis ist zu dokumentieren.




                                                Seite 1 von 2                     Nächste Seite>>


11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Bring-Your-Own-IP in die Cloud [6.09.2022]

OVHcloud will nach einer Early-Access-Phase in Kürze den Bring Your-Own-IP-Importdienst anbieten. Da IPv4-Adressen knapp sind, können Kunden damit über das OVHcloud Control Panel ihre bestehenden Bereiche öffentlicher IPv4-Adressen importieren, um sie als Blöcke von IP-Failover-Adressen zu nutzen. [mehr]

Fünf Tipps für Netzwerk-Admins [5.09.2022]

Aufbau, Betrieb und Wartung von Netzwerken sind hochkomplexe Arbeiten, die Administratoren einiges abverlangen. Kein Wunder also, dass gelegentlich etwas schiefläuft. Opengear nennt fünf Fehler, die Netzwerkadmins gerne machen, und erklärt, wie sie diese vermeiden können. [mehr]

Tipps & Tools

Checkliste für LAN-Tests auf Verkabelungsebene [4.08.2022]

Bei der Wartung eines bestehenden oder der Installation eines neuen Netzwerks kommt es darauf an, dass für eine optimale Leistungsfähigkeit sämtliche Verbindungen und Verkabelungen getestet werden. Tests lassen sich dabei auf drei Ebenen durchführen: Verifizierung, Qualifizierung und Zertifizierung. Der Fachartikel widmet sich vor allem der Zertifizierung und gibt Tipps sowohl für Twisted-Pair-Kupferkabel als auch für Glasfaser. [mehr]

Management von verteilten Multiclouds [19.05.2022]

Auf der einen Seite beenden Multicloud-Konzepte einseitige Abhängigkeiten von einzelnen Anbietern und Standorten. Andererseits sorgen sie für neue Probleme, da das Management einer solchen diversen Landschaft aktuell noch recht aufwendig ist. Als mögliche Lösung stellt unser Fachartikel "Multicloud-Würfel" vor und erläutert, wie diese Themen wie Performance und Security gebündelt über alle Ebenen hinweg abbilden und das Management vereinfachen wollen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen