Fachartikel

Seite 2 - Datenschutz bei der Fernwartung von IT-Systemen

Technische und organisatorische Maßnahmen
Bei der vertraglichen Ausgestaltung von Fernwartungsverträgen sind insbesondere die gemäß § 11 Abs. 2 S.2 Nr.3 BDSG zu beachtenden technischen und organisatorischen Maßnahmen der Anlage zu § 9 Satz 1 BDSG relevant. Aus den dadurch erforderlichen Maßnahmen seien hier exemplarisch einige aufgeführt: Zunächst müssen Sie klare Regeln für den Zugriff durch den IT-Dienstleister auf die Systeme des Auftraggebers festlegen. Hierdurch verhindern Sie, dass Unberechtigte Zugriff auf Ihre Server als Auftraggeber erhalten (Zugangskontrolle, Nr. 2 der Anlage zu § 9 S.1 BDSG). Dies geschieht regelmäßig durch entsprechend eingestellte Firewalls. Im Idealfall blockieren diese sämtliche Zugriffe von außen auf das Unternehmensnetzwerk. Bei einer Fernwartung können entsprechende Ports zu einem vereinbarten Zeitpunkt beziehungsweise nach Anmeldung geöffnet werden. Nach Abschluss der Wartungsarbeiten sind diese wieder umgehend zu schließen.

Für den Auftragnehmer müssen Sie ein Wartungsprofil erstellen, so dass dieser nur im Rahmen seiner Berechtigungen auf die für ihn relevanten Systeme zugreifen kann (Zugriffskontrolle, Nr. 3 der Anlage zu § 9 S.1 BDSG). Die Zugriffe auf die Daten müssen protokolliert werden, wobei Sie die Manipulationssicherheit des Inhaltes der Protokolldateien durch wirksame Zugriffsbeschränkungen gewährleisten müssen. Die Protokollierung ist so zu gestalten, dass mit ihrer Hilfe jederzeit eine Überprüfung erfolgter Zugriffe und eine Auswertung der Protokolle, mit der unberechtigte Zugriffe festgestellt werden können, möglich ist (Eingabekontrolle, Nr. 5 der Anlage zu § 9 S.1 BDSG).

Oft keine vertragliche Regelung
Oftmals besteht zwischen den Parteien keine schriftliche Vereinbarung zum Datenschutz. Liegt eine solche doch vor, so ist diese in vielen Fällen nur mangelhaft ausgestaltet. Nicht selten ist die Floskel "Der Auftragnehmer hat die Vorschriften des BDSG, insbesondere des § 9 BDSG, zu beachten" anzutreffen. Teilweise findet sich auch ein Abdruck des § 9 BDSG samt Anlage zu § 9 S.1 BDSG. Auch wird innerhalb von Konzernen regelmäßig übersehen, dass ein datenschutzrechtliches Konzernprivileg nicht existiert. Daher müssen die Regelungen zur Auftragsdatenvereinbarung auch dann berücksichtigt werden, wenn es sich bei dem mit der Fernwartung beauftragten Unternehmen "nur" um eine andere Konzerngesellschaft handelt. Im Bereich der Auftragsdatenverarbeitung wurden zudem keine Übergangsregelungen getroffen, weshalb auch Altverträge an den seit 2009 geltenden Bestimmungen des § 11 BDSG zu messen sind.

Bußgeld bei Verstößen
Die BDSG-Novellen brachten eine Verschärfung der Bußgeldtatbestände mit sich und sanktionieren nun auch explizit Verstöße gegen § 11 BDSG. Kommt ein Auftraggeber beispielsweise bei der Beurteilung, ob die Vorgaben zur Auftragsverarbeitung einzuhalten sind, zu einem falschen Ergebnis, droht ihm gemäß § 43 Abs. 1 Nr.2b BDSG ein Bußgeld von bis zu 50.000 Euro; ebenso bei nicht ordnungsgemäßer Auswahl des IT-Dienstleisters. Außerdem ist zu beachten, dass der Auftraggeber als verantwortliche Stelle auch bei einem Verstoß des IT-Dienstleisters gegen Datenschutzbestimmungen haftet. Insoweit ist es riskant, wenn Unternehmen datenschutzrechtliche Vorgaben nicht oder nur unzureichend einhalten und sich somit neben einem etwaigen Reputationsverlust auch der Gefahr empfindlicher Bußgelder aussetzen.

Fazit
Die Fernwartung ist gemäß § 11 Abs. 5 BDSG als Auftragsdatenverarbeitung einzustufen. Neue Verträge sollten bereits bei deren Erstellung den datenschutzrechtlichen Anforderungen Rechnung tragen. Hierbei kann der Datenschutzbeauftragte oder der Berater für Datenschutz wertvolle Hilfe leisten, zumal gleichermaßen technische wie rechtliche Aspekte zu berücksichtigen sind. Unternehmen sind auch gut beraten, ihre bereits bestehenden Verträge zu prüfen und gegebenenfalls um eine entsprechende Zusatzvereinbarung zu ergänzen. Als erste Orientierung können Ihnen hierfür die zahlreichen, frei erhältlichen Musterverträge dienen. Da diese Vorlagen jedoch häufig relevante Punkte auslassen oder die aktuelle Rechtslage nicht berücksichtigen, ersetzen sie keine umfassende sach- und fachkundige Beratung. Hier ist also Vorsicht geboten, um Bußgelder sowie Imageschäden zu vermeiden. So lässt sich das Haftungsrisiko für eigene, aber auch für fremde Verstöße minimieren.

Giovanni Brugugnone ist Rechtsanwalt sowie Consultant Datenschutz und IT-Compliance bei der intersoft consulting services AG.


         <<Vorherige Seite                          Seite 2 von 2

11.04.2011/dr/ln/Giovanni Brugugnone

Nachrichten

WAN-Management per Cloud [10.03.2021]

LANCOM verpasst seiner Management Cloud neue Features für SD-WAN und SD-Branch. Als zentrale Management-Instanz stellt die Cloudumgebung nun SD-WAN-Funktionen zur Verfügung, die für Skalierbarkeit und Effizienz der Weitverkehrsnetze mittelständischer und großer Firmen sorgen soll. Im Bereich SD-Branch hält das Update einen neuen WLAN-Hotspot-Dienst bereit, der mit wenigen Mausklicks standortübergreifend ausgerollt wird. [mehr]

Checkmk ab sofort in Version 2.0 erhältlich [9.03.2021]

tribe29 gibt den Startschuss für Version 2.0 von "Checkmk". Das größte Update der Firmengeschichte betrifft die komplett überarbeitete Benutzeroberfläche, bringt aber auch zwei neue Prommierschnittstellen mit. Auch an der Zahl der offiziellen Integrationen will der Anbieter gearbeitet haben – so etwa sollen für Checkmk mittlerweile über 1900 offizielle Monitoring-Plug-ins zur Verfügung stehen. [mehr]

Tipps & Tools

WiFi-Netzwerke im Überblick [16.01.2021]

In größeren Unternehmen müssen Netzwerk-Admins gegebenenfalls mehrere WiFi-Umgebungen einrichten. Nach der Installation der Router ist es wichtig, die Netzwerkkonfiguration zu überprüfen. Hier kann das kostenfreie Tool "WifiInfoView" weiterhelfen, das neben der SSID aller funkenden WLAN-Netze auch die eingesetzte Verschlüsselung sowie Router mitsamt Hersteller anzeigt. [mehr]

Vorschau Januar 2021: Infrastruktur- und Assetmanagement [21.12.2020]

Die IT-Landschaften in Unternehmen werden zunehmend komplexer und dynamischer. Dieser Trend dürfte auch im neuen Jahr anhalten. Zum Jahresauftakt beleuchtet IT-Administrator daher den Schwerpunkt "Infrastruktur- und Assetmanagement". So zeigen wir unter anderem, wie Sie Red Hat Satellite 6.7 in Betrieb nehmen und Ihre Systeme damit verwalten. Außerdem erfahren Sie, wie Sie Systemausfälle mit dem Spiceworks Connectivity Dashboard frühzeitig erkennen und Netzwerkadapter über die PowerShell steuern. In den Produkttests werfen wir einen Blick auf die Inventarisierung mit LOGINventory 8. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen