Fachartikel

Seite 2 - Datenschutz bei der Fernwartung von IT-Systemen

Technische und organisatorische Maßnahmen
Bei der vertraglichen Ausgestaltung von Fernwartungsverträgen sind insbesondere die gemäß § 11 Abs. 2 S.2 Nr.3 BDSG zu beachtenden technischen und organisatorischen Maßnahmen der Anlage zu § 9 Satz 1 BDSG relevant. Aus den dadurch erforderlichen Maßnahmen seien hier exemplarisch einige aufgeführt: Zunächst müssen Sie klare Regeln für den Zugriff durch den IT-Dienstleister auf die Systeme des Auftraggebers festlegen. Hierdurch verhindern Sie, dass Unberechtigte Zugriff auf Ihre Server als Auftraggeber erhalten (Zugangskontrolle, Nr. 2 der Anlage zu § 9 S.1 BDSG). Dies geschieht regelmäßig durch entsprechend eingestellte Firewalls. Im Idealfall blockieren diese sämtliche Zugriffe von außen auf das Unternehmensnetzwerk. Bei einer Fernwartung können entsprechende Ports zu einem vereinbarten Zeitpunkt beziehungsweise nach Anmeldung geöffnet werden. Nach Abschluss der Wartungsarbeiten sind diese wieder umgehend zu schließen.

Für den Auftragnehmer müssen Sie ein Wartungsprofil erstellen, so dass dieser nur im Rahmen seiner Berechtigungen auf die für ihn relevanten Systeme zugreifen kann (Zugriffskontrolle, Nr. 3 der Anlage zu § 9 S.1 BDSG). Die Zugriffe auf die Daten müssen protokolliert werden, wobei Sie die Manipulationssicherheit des Inhaltes der Protokolldateien durch wirksame Zugriffsbeschränkungen gewährleisten müssen. Die Protokollierung ist so zu gestalten, dass mit ihrer Hilfe jederzeit eine Überprüfung erfolgter Zugriffe und eine Auswertung der Protokolle, mit der unberechtigte Zugriffe festgestellt werden können, möglich ist (Eingabekontrolle, Nr. 5 der Anlage zu § 9 S.1 BDSG).

Oft keine vertragliche Regelung
Oftmals besteht zwischen den Parteien keine schriftliche Vereinbarung zum Datenschutz. Liegt eine solche doch vor, so ist diese in vielen Fällen nur mangelhaft ausgestaltet. Nicht selten ist die Floskel "Der Auftragnehmer hat die Vorschriften des BDSG, insbesondere des § 9 BDSG, zu beachten" anzutreffen. Teilweise findet sich auch ein Abdruck des § 9 BDSG samt Anlage zu § 9 S.1 BDSG. Auch wird innerhalb von Konzernen regelmäßig übersehen, dass ein datenschutzrechtliches Konzernprivileg nicht existiert. Daher müssen die Regelungen zur Auftragsdatenvereinbarung auch dann berücksichtigt werden, wenn es sich bei dem mit der Fernwartung beauftragten Unternehmen "nur" um eine andere Konzerngesellschaft handelt. Im Bereich der Auftragsdatenverarbeitung wurden zudem keine Übergangsregelungen getroffen, weshalb auch Altverträge an den seit 2009 geltenden Bestimmungen des § 11 BDSG zu messen sind.

Bußgeld bei Verstößen
Die BDSG-Novellen brachten eine Verschärfung der Bußgeldtatbestände mit sich und sanktionieren nun auch explizit Verstöße gegen § 11 BDSG. Kommt ein Auftraggeber beispielsweise bei der Beurteilung, ob die Vorgaben zur Auftragsverarbeitung einzuhalten sind, zu einem falschen Ergebnis, droht ihm gemäß § 43 Abs. 1 Nr.2b BDSG ein Bußgeld von bis zu 50.000 Euro; ebenso bei nicht ordnungsgemäßer Auswahl des IT-Dienstleisters. Außerdem ist zu beachten, dass der Auftraggeber als verantwortliche Stelle auch bei einem Verstoß des IT-Dienstleisters gegen Datenschutzbestimmungen haftet. Insoweit ist es riskant, wenn Unternehmen datenschutzrechtliche Vorgaben nicht oder nur unzureichend einhalten und sich somit neben einem etwaigen Reputationsverlust auch der Gefahr empfindlicher Bußgelder aussetzen.

Fazit
Die Fernwartung ist gemäß § 11 Abs. 5 BDSG als Auftragsdatenverarbeitung einzustufen. Neue Verträge sollten bereits bei deren Erstellung den datenschutzrechtlichen Anforderungen Rechnung tragen. Hierbei kann der Datenschutzbeauftragte oder der Berater für Datenschutz wertvolle Hilfe leisten, zumal gleichermaßen technische wie rechtliche Aspekte zu berücksichtigen sind. Unternehmen sind auch gut beraten, ihre bereits bestehenden Verträge zu prüfen und gegebenenfalls um eine entsprechende Zusatzvereinbarung zu ergänzen. Als erste Orientierung können Ihnen hierfür die zahlreichen, frei erhältlichen Musterverträge dienen. Da diese Vorlagen jedoch häufig relevante Punkte auslassen oder die aktuelle Rechtslage nicht berücksichtigen, ersetzen sie keine umfassende sach- und fachkundige Beratung. Hier ist also Vorsicht geboten, um Bußgelder sowie Imageschäden zu vermeiden. So lässt sich das Haftungsrisiko für eigene, aber auch für fremde Verstöße minimieren.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.


         <<Vorherige Seite                          Seite 2 von 2

11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

Effizienter Kommunizieren [28.11.2022]

Mit Active Radio Control 2.0 möchte LANCOM die Optimierung von WLAN-Netzen vereinfachen. Auf Basis von computergestütztem Lernen errechnet das Tool anhand der Nutzungsdaten die jeweils beste Konfiguration. Admins können zwischen drei Optimierungsschemata wählen oder sich für den Auto-Modus entscheiden. [mehr]

Bring-Your-Own-IP in die Cloud [6.09.2022]

OVHcloud will nach einer Early-Access-Phase in Kürze den Bring Your-Own-IP-Importdienst anbieten. Da IPv4-Adressen knapp sind, können Kunden damit über das OVHcloud Control Panel ihre bestehenden Bereiche öffentlicher IPv4-Adressen importieren, um sie als Blöcke von IP-Failover-Adressen zu nutzen. [mehr]

Tipps & Tools

Vorschau November 2022: Software-definierte Infrastrukturen [24.10.2022]

Flexibilität ist gefragt, auch im Unternehmensnetzwerk. Im November werfen wir einen Blick auf das Schwerpunktthema "Software-definierte Infrastrukturen". So lesen Sie beispielsweise, welche aktuellen Entwicklungen virtualisierte Netze prägen und wie Sie dank VMware NSX Ihre Workloads schützen. Außerdem zeigen wir, wie das Aufsetzen von privaten Clouds mit antMan funktioniert, das einen schnellen und unkomplizierten Einstieg verspricht. In den Produkttests darf unter anderem der Oracle Linux Virtualization Manager 4.4 sein Können unter Beweis stellen. [mehr]

Checkliste für LAN-Tests auf Verkabelungsebene [4.08.2022]

Bei der Wartung eines bestehenden oder der Installation eines neuen Netzwerks kommt es darauf an, dass für eine optimale Leistungsfähigkeit sämtliche Verbindungen und Verkabelungen getestet werden. Tests lassen sich dabei auf drei Ebenen durchführen: Verifizierung, Qualifizierung und Zertifizierung. Der Fachartikel widmet sich vor allem der Zertifizierung und gibt Tipps sowohl für Twisted-Pair-Kupferkabel als auch für Glasfaser. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen