Beispielbild Fernwartung: Frau mit Laptop vor Server

Fernwartung & Datenschutz

IT-Wartungen finden oftmals mittels Fernzugriff statt. Gerade Unternehmen müssen dabei zwingend den Datenschutz beachten. Was sieht die DSGVO beim Thema Fernwartung vor?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-02-01

Logo
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Datenschutz und Datensicherheit spielen im IT-Bereich eine wichtige Rolle. Aber nicht alle IT-Abteilungen in Unternehmen aktualisieren und warten interne Hardware, Software und Server selbst, um nach den Vorgaben der technischen und organisatorischen Maßnahmen (TOM) immer auf dem neusten technischen Stand zu sein. Vielfach ist dies auch aufgrund des genutzten Hard- und Softwareumfangs schlicht nicht möglich und es werden externe IT-Dienstleister für Fernwartungen hinzugezogen. Im Sinne der IT-Sicherheit ist es beim Thema Fernwartung unerlässlich, die nötigen Sicherheitsstandards zum Schutz personenbezogener Daten zu gewährleisten.

 

DSGVO & Fernwartung: Wie sind die Vorgaben?

Das Thema Fernwartung wird von der DSGVO nicht explizit geregelt, weswegen hier bei Jurist*innen und anderen Expert*innen Uneinigkeit besteht. Wir empfehlen jedoch, den sicheren Weg zu wählen und einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit den jeweiligen Dienstleister*innen für die anstehende IT-Wartungen zu schließen.

Hintergrund ist folgender: Auch wenn der IT-Wartungsvertrag nur einen bestimmten Teil eines Systems für die Fernwartung vorsieht, kann meist nicht ausgeschlossen werden, dass die IT-Dienstleister*innen, die die Fernwartung durchführen, Einsicht bzw. Zugriff auf personenbezogene Daten erlangen. Es ist dabei nicht entscheidend, ob ein Zugriff / Einsicht auf personenbezogene Daten tatsächlich erfolgt, sondern allein die Tatsache, dass dieser Zugriff bzw. Einsicht nicht ausgeschlossen werden kann, verlangt einen AV-Vertrag. So sichern Sie Ihr Unternehmen ab, da Sie im AV-Vertrag genaue Vorgaben zum Umgang mit den personenbezogenen Daten geben, für die Sie verantwortlich sind.

Auf einen AV-Vertrag sollten Sie nur verzichten, wenn:

  • Ihre Daten in einer Art und Weise verschlüsselt sind, dass diese von den Techniker*innen, die die Fernwartung durchführen, nicht gelesen werden können;

  • Ein Nachweis seitens der Techniker*innen erbracht wird, dass keine personenbezogenen Daten von der Fernwartung betroffen sind.

 

Fernwartung und Datenschutz: Welche Verträge braucht es?

Abseits vom oben genannten AV-Vertrag sollten Sie unbedingt auf zwei weitere Verträge achten, die bereits vor der Fernwartung abgeschlossen werden müssen:

  • Wartungsvertrag (Service-Level-Agreement (SLA)): In einem solchen Wartungsvertrag wird nicht nur der Umfang der IT- oder Fernwartung festgelegt, sondern er führt auch für den Datenschutz relevante Punkte auf, wie die betroffenen Systeme und den Zeitpunkt der Wartung.

  • Verschwiegenheitsvereinbarung: Eine Verschwiegenheitserklärung ist oftmals bereits Bestandteil eines Wartungsvertrags, kann aber auch separat abgeschlossen werden. Vor allem, wenn es um Fernwartungen in Bereichen geht, in denen der Datenschutz einen besonders hohen Stellenwert hat – wie z.B. in Arztpraxen – muss auf eine solche Erklärung bestanden werden. Im schlimmsten Fall kann es ohne eine Verschwiegenheitserklärung zu einer Verletzung der Schweigepflicht und damit zu einer Offenbarung sensibler Daten kommen, sollte der / die IT-Dienstleister*in Zugriff oder Einsicht auf  / in besonders sensible personenbezogene Daten erhalten.

 

Gibt es ein DSGVO-Muster für Fernwartungen?

Ein allgemeingültiges Muster für eine Fernwartung nach DSGVO-Vorgaben gibt es nicht, da es hier immer einer Einzelfallbetrachtung bedarf. Wichtig ist neben den oben genannten Verträgen beispielsweise auch der Sitz der Techniker*innen, die die Fernwartung durchführen. Ist der Sitz des externen Dienstleisters / der externen Dienstleisterin außerhalb der EU, kommt es zu einem Datentransfer in ein Drittland und es bedarf eines extra angepassten Vertrags.

Beim Thema Fernwartung und Datenschutz ist es aber unabdingbar, all diese Dinge bereits vor dem Fernzugriff auf unternehmensinterne Hard- und Softwaresysteme zu regeln. Nur so kann der Schutz gespeicherter personenbezogener Daten sichergestellt werden. Haben Sie eine*n Datenschutzbeauftragte*n in Ihrem Unternehmen, sollte diese*r vor der geplanten Fernwartung zudem auf jeden Fall hinzugezogen werden.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 01.02.21

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr