Fachartikel

Datenschutz bei der Fernwartung von IT-Systemen

Lagern Sie als Administrator die Wartung der unternehmenseigenen IT aus, kommen Fernwartungsverträge mit externen Dienstleistern ins Spiel. Hierbei sorgt eine umsichtige Vertragsgestaltung dafür, dass im besten Falle nicht nur Kosten gespart, sondern auch Verstöße gegen das Datenschutzgesetz vermieden werden. Dieser Beitrag befasst sich mit der datenschutzrechtlichen Einordnung von Fernwartungsverträgen und gibt Hinweise zu Vorgaben des BDSG, die bei dieser Art von Outsourcing zu berücksichtigen sind.
Auch beim Outsourcing ist es wichtig, Datenschutzbestimmungen einzuhalten
Zwar sind Fernwartungsverträge nach überwiegender Rechtsansicht weder als klassische Auftragsdatenverarbeitung (Auftragnehmer übernimmt weisungsgebundene Hilfstätigkeiten) noch als Funktionsübertragung (zumindest teilweise eigenverantwortliche Datenverarbeitung durch den Auftragnehmer) einzuordnen. Da gemäß § 11 Abs. 5 BDSG die Regelungen zur Auftragsdatenverarbeitung aber auch auf Prüfungs- und Wartungsverträge Anwendung finden – sofern dabei ein Zugriff auf personenbezogene Daten möglich ist – greift § 11 BDSG samt seiner umfassenden Vorgaben. Fernwartungsverträge unterliegen also wie die klassische Auftragsdatenverarbeitung den Vorgaben des § 11 BDSG. Dies hat zur Folge, dass bei Fernwartungsverträgen der jeweilige Auftraggeber verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG bleibt, also auch bei Verstößen des IT-Dienstleisters gegen Datenschutzbestimmungen haftet.

Auswirkungen der BDSG-Novellen
Im Rahmen der BDSG-Novelle II wurde als zentraler Punkt die Auftragsdatenverarbeitung in § 11 BDSG neu geregelt. Dieser greift immer dann, wenn gemäß § 11 Abs. 1 BDSG personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. In der seit 01.09.2009 geltenden Fassung des § 11 Abs. 2 S.2 BDSG ist ein verbindlicher (nicht abschließender) Zehn-Punkte-Katalog vorgegeben, der bei Verträgen zur Auftragsdatenverarbeitung, also gemäß § 11 Abs. 5 BDSG auch bei Fernwartungsverträgen, einzuhalten ist. Durch diesen Zehn-Punkte-Katalog sind bereits vor den Novellen bestehende Pflichten des Auftraggebers konkretisiert worden. So ist ein Auftrag zur Auftragsdatenverarbeitung stets schriftlich zu erteilen und muss diese Punkte beinhalten:
  1. Den Gegenstand und die Dauer des Auftrags,
  2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und den Kreis der Betroffenen,
  3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Auswahl und Kontrolle des IT-Dienstleisters
Im Rahmen von Fernwartungsverträgen haben IT-Dienstleister oftmals die Möglichkeit, über einen Remote-Zugang auf personenbezogene Daten des Auftraggebers zuzugreifen, die insoweit vor dem unberechtigten Zugriff durch den IT-Dienstleister zu schützen sind. § 11 Abs. 2 S.1 BDSG besagt, dass der Auftraggeber den IT-Dienstleister "unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen" hat. Maßstab ist hier der je nach Art der betroffenen Daten erforderliche Schutzstandard (etwa bei Gesundheitsdaten). Der so ausgewählte Dienstleister ist nicht nur zu Beginn des Auftrages, sondern gemäß § 11 Abs. 2 S.4 BDSG regelmäßig auf die Einhaltung der getroffenen Maßnahmen hin zu überprüfen und das Ergebnis ist zu dokumentieren.




                                                Seite 1 von 2                     Nächste Seite>>


11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Präzise Netzwerkmessungen [12.10.2018]

Allegro Packtet kündigt die neuen Appliances der 3500 / 5500-Serie an. Die Hardware-Plattformen sind für Analyse, Monitoring, Überprüfung und Fehlersuche von 1 bis 100 GBit-Verbindungen ausgelegt. Die Systeme sind für hohe Aufzeichnungs-, Analyse- und Speicherraten konzipiert und erlauben die Überprüfung von 800.000 IP-Adressen und 256 Millionen Verbindungen. [mehr]

Verbesserte Netzwerkanalyse [25.09.2018]

Allegro Packets kündigt für die Analyse- und Monitoring-Software seiner 'Allegro Network Multimeter' ein umfassendes Upgrade an. Die neue Version 2.2 verspricht demnach eine präzisere und schnellere Analyse der aufgezeichneten Datenströme. [mehr]

Tipps & Tools

Komplette PRTG-Sensormeldungen aufzeichnen [4.11.2018]

Wer beim Netzwerkmonitoring mit PRTG Network Monitor arbeitet, hat vielleicht schon festgestellt, dass das Werkzeug nur die numerischen Ergebnisse des aktuellen Sensors in den historischen Daten speichert, nicht jedoch die ausführlichen Sensormeldungen. Es gibt jedoch eine Möglichkeit, auch die kompletten Sensormeldungen aufzuzeichnen und abzulegen, sodass sie sich jederzeit durchsuchen lassen. [mehr]

Mirth Connect mit PRTG überwachen [28.10.2018]

In vielen Kliniken überwacht der Kommunikationsserver NextGen (Mirth) Connect verschiedene Verbindungen und Schnittstellen zwischen eHealth-Applikationen. Da dort sensible Daten ausgetauscht werden und eine höchstmögliche Systemverfügbarkeit vorausgesetzt wird, sollte das System seinerseits möglichst detailliert überwacht werden. Für Nutzer von PRTG gibt es eine Möglichkeit, System- und Zustandsdaten aus Mirth nach PRTG zu übermitteln und dort zu visualisieren. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen