rating service  security service privacy service
Fernwartung worauf ist zu achten?
Fernwartung als datenschutzrechtliche Dienstleistung, Welche Pflichten treffen Auftraggeber und Dienstleister? - Wichtigste Regelungspunkte aufgezeigt - ARGE DATEN Musterbrief als Orientierungshilfe (http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA...)

Was ist Fernwartung?

Im modernen EDV-Alltag kommt es regelmäßig vor, dass Computersysteme nicht mehr lokal, sondern per Internet aus der Ferne bedient werden.

Vom Aktualisieren des Virus-Scanners oder des Betriebssystems, der Behebung kleiner Fehler per „Remote-Desktop“, dem Konfigurieren und Warten von Servern bis hin zur Steuerung ganzer Industrie-Anlagen ist heute vieles per Internet möglich.

Erfolgt die Fernwartung von Systemen dabei durch Fremdfirmen (Wartungsfirmen), müssen einige Punkte beachtet werden.


Fernwartung als datenschutzrechtliche Dienstleistung

Unabhängig von sonstigen vertraglichen Vereinbarungen, liegt ein datenschutzrechtliches Dienstleistungsverhältnis vor, sobald für eine Wartungsfirma eine Zugriffsmöglichkeit auf personenbezogene Daten besteht. Beispielsweise bei Übernahme des Betriebs, der Wartung, oder der Sicherung der von EDV-Systemen auf denen sich personenbezogene Daten befinden.

Ist dies der Fall, muss zwischen der Wartungsfirma und dem Auftraggeber geregelt werden, wie mit personenbezogenen Daten umzugehen ist.

Dies kann grundsätzlich im Rahmen beliebiger vertraglicher Vereinbarungen geschehen. In der Praxis hat sich bewährt, eine gesonderte (datenschutzrechtliche) Dienstleistungsvereinbarung abzuschließen.

Ein Muster einer Dienstleistungsvereinbarung (in Deutschland treffender als Vereinbarung zur Auftragsdatenverarbeitung bezeichnet) steht unter: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDA... zur Verfügung.

Hinweis: Auch in einem Konzern müssen Dienstleistungsvereinbarungen abgeschlossen werden, sofern eine Konzerntochter die Systeme anderer aus der Ferne wartet.


Worauf muss bei Fernwartung geachtet werden?

Dass Wartungsfirmen grundlegende Sicherheitsmaßnahmen ergreifen müssen, ergibt sich bereits aus dem Datenschutzgesetz. In der Dienstleistervereinbarung sind daher konkret zu ergreifende technische bzw. organisatorische Maßnahmen festzuhalten.

Der Zugang zu Systemen hat ausschließlich über verschlüsselte Kanäle zu erfolgen. In der Dienstleistungsvereinbarung sind dazu Richtlinien für die Verwendung komplexer Passwörter festzulegen. Der Zugriff auf sensible oder geschäftskritische Daten ist erst nach einer Authentifizierung mittels Software-Zertifikat oder per Hardware-Crypto-Token zu gestatten.

Der Auftraggeber hat sicherzustellen, dass Zugriffsberechtigungen so eng wie möglich vergeben werden. Sollte dies technisch nicht möglich sein, ist der Umfang der Berechtigungen von Wartungsfirmen klar in der Dienstleistervereinbarung festzuhalten. Generell sollten Fernwartungen erst nach Genehmigung durch den Auftraggeber durchgeführt werden dürfen.

Bei kritischen Datenverarbeitungsvorgängen (etwa einem Datenbankupdate) ist zu vereinbaren, dass diese zuerst an Test-Daten erprobt werden müssen. Eine Begrenzung der Anzahl von Datensätzen, die in einer bestimmten Zeit von Wartungsfirmen bearbeitet werden dürfen, dient als weitere Schutzmaßnahme vor Datenverlust.

Auszuschließen ist, dass Wartungsfirmen, zur Erfüllung ihrer Aufgaben, ihrerseits Dienstleister heranziehen. Auch Freiberufler die für Wartungsfirmen tätig sind, stellen im Verhältnis Auftraggeber/Wartungsfirma Dritte dar. Bei derartigen Konstellationen ist eine eigene Dienstleistervereinbarung zwischen Auftraggeber und Freiberufler abzuschließen.

Weiters ist in der Dienstleistungsvereinbarung festzulegen, dass Wartungsfirmen Daten auf ihren Systemen ausschließlich verschlüsselt abspeichern dürfen. Jedenfalls ist zu regeln, ob bzw. auf welche Art Wartungsfirmen Sicherungen der Daten des Auftraggebers vornehmen dürfen.

Letztlich ist zu klären, wie mit personenbezogenen Daten bei der Wartungsfirma nach Abschluss der Wartungsarbeiten umzugehen ist. Eine sichere Datenlöschung liegt erst vor wenn ehemals gespeicherte Dateien mehrmals überschrieben oder Datenträger geshreddert werden.


Geheimhaltung ist gesetzlich geregelt

Dienstleistungsvereinbarungen können nicht generell mit Geheimhaltungs- oder Verschwiegenheitserklärungen gleichgesetzt werden.

Schließlich sind Wartungsfirmen bereits aufgrund des Datenschutzgesetzes verpflichtet Daten des Auftraggebers geheim zu halten. Auch sind die Wartungsfirmen dafür verantwortlich, ihre Arbeitnehmer zur Einhaltung des Datengeheimnisses zu verpflichten.

Im Fall besonderer Geheimhaltungspflichten (ärztliche Schweigepflicht, Verpflichtung zum Bankgeheimnis) ist es dennoch ratsam zusätzliche Geheimhaltungserklärungen einzuholen.


Auftraggeber hat Kontrollpflicht

Nicht nur vor der Heranziehung einer Wartungsfirma, sondern fortlaufend haben Auftraggeber die Pflicht sich von der Einhaltung der Dienstleistervereinbarung zu überzeugen.

Auftraggeber sind dafür verantwortlich zu überprüfen ob Wartungsfirmen sämtliche Punkte der Dienstleistungsvereinbarung erfüllen. Werden komplexe Passwörter verwendet? Werden sämtliche Daten verschlüsselt abgespeichert? Erfolgt gar ein überschießender Zugriff auf Daten?

Zertifizierungen von Wartungsfirmen, nach ISO 27001 oder dem Datenschutzsiegel EuroPriSe können die Überprüfung zwar beschleunigen und erleichtern. Grundlage jeder Kontrolle stellt aber die Dienstleistungsvereinbarung dar, weshalb diese deutlich die Rechte und Pflichten von Auftraggeber und Wartungsfirma regeln muss.

mehr --> [AUFT-ITDL] Vereinbarung für IT-Dienstleistungen gemäß DSG 2000
Archiv --> Datenschutz und IT-Sicherheit - 9. Mai 2017
Archiv --> Was ist ein Dienstleister im Sinne des DSG 2000?
andere --> Ist der Einsatz einer Computer Monitoring Software zulässig?
andere --> EuroPriSe - European Privacy Seal
andere --> Datenschutzgesetz 2000 (DSG 2000)

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster