Fernwartung & Datenschutz

Letztes Update:
02
.
12
.
2022
Lesezeit:
0
Min
IT-Wartungen finden oftmals mittels Fernzugriff statt. Gerade Unternehmen müssen dabei zwingend den Datenschutz beachten. Was sieht die DSGVO beim Thema Fernwartung vor?
Fernwartung & Datenschutz
Die wichtigsten Erkenntnisse
  • Fernwartung oft durch externe IT-Dienstleister, Datenschutz muss beachtet werden.
  • DSGVO fordert AV-Vertrag bei möglichem Zugriff auf personenbezogene Daten.
  • Zwei wichtige Verträge: Wartungsvertrag (SLA) und Verschwiegenheitsvereinbarung.
  • Kein allgemeingültiges DSGVO-Muster für Fernwartung, Einzelfallbetrachtung nötig.
  • Datenschutzbeauftragte*r sollte vor Fernwartung einbezogen werden.

Datenschutz und Datensicherheit spielen im IT-Bereich eine wichtige Rolle. Aber nicht alle IT-Abteilungen in Unternehmen aktualisieren und warten interne Hardware, Software und Server selbst, um nach den Vorgaben der technischen und organisatorischen Maßnahmen (TOM) immer auf dem neusten technischen Stand zu sein. Vielfach ist dies auch aufgrund des genutzten Hard- und Softwareumfangs schlicht nicht möglich und es werden externe IT-Dienstleister für Fernwartungen hinzugezogen. Im Sinne der IT-Sicherheit ist es beim Thema Fernwartung unerlässlich, die nötigen Sicherheitsstandards zum Schutz personenbezogener Daten zu gewährleisten.

DSGVO & Fernwartung: Wie sind die Vorgaben?

Das Thema Fernwartung wird von der DSGVO nicht explizit geregelt, weswegen hier bei Jurist*innen und anderen Expert*innen Uneinigkeit besteht. Wir empfehlen jedoch, den sicheren Weg zu wählen und einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit den jeweiligen Dienstleister*innen für die anstehende IT-Wartungen zu schließen.

Hintergrund ist folgender: Auch wenn der IT-Wartungsvertrag nur einen bestimmten Teil eines Systems für die Fernwartung vorsieht, kann meist nicht ausgeschlossen werden, dass die IT-Dienstleister*innen, die die Fernwartung durchführen, Einsicht bzw. Zugriff auf personenbezogene Daten erlangen. Es ist dabei nicht entscheidend, ob ein Zugriff / Einsicht auf personenbezogene Daten tatsächlich erfolgt, sondern allein die Tatsache, dass dieser Zugriff bzw. Einsicht nicht ausgeschlossen werden kann, verlangt einen AV-Vertrag. So sichern Sie Ihr Unternehmen ab, da Sie im AV-Vertrag genaue Vorgaben zum Umgang mit den personenbezogenen Daten geben, für die Sie verantwortlich sind.

Auf einen AV-Vertrag sollten Sie nur verzichten, wenn:

  • Ihre Daten in einer Art und Weise verschlüsselt sind, dass diese von den Techniker*innen, die die Fernwartung durchführen, nicht gelesen werden können;
  • Ein Nachweis seitens der Techniker*innen erbracht wird, dass keine personenbezogenen Daten von der Fernwartung betroffen sind.

Fernwartung und Datenschutz: Welche Verträge braucht es?

Abseits vom oben genannten AV-Vertrag sollten Sie unbedingt auf zwei weitere Verträge achten, die bereits vor der Fernwartung abgeschlossen werden müssen:

  • Wartungsvertrag (Service-Level-Agreement (SLA)): In einem solchen Wartungsvertrag wird nicht nur der Umfang der IT- oder Fernwartung festgelegt, sondern er führt auch für den Datenschutz relevante Punkte auf, wie die betroffenen Systeme und den Zeitpunkt der Wartung.
  • Verschwiegenheitsvereinbarung: Eine Verschwiegenheitserklärung ist oftmals bereits Bestandteil eines Wartungsvertrags, kann aber auch separat abgeschlossen werden. Vor allem, wenn es um Fernwartungen in Bereichen geht, in denen der Datenschutz einen besonders hohen Stellenwert hat – wie z.B. in Arztpraxen – muss auf eine solche Erklärung bestanden werden. Im schlimmsten Fall kann es ohne eine Verschwiegenheitserklärung zu einer Verletzung der Schweigepflicht und damit zu einer Offenbarung sensibler Daten kommen, sollte der / die IT-Dienstleister*in Zugriff oder Einsicht auf  / in besonders sensible personenbezogene Daten erhalten.

Gibt es ein DSGVO-Muster für Fernwartungen?

Ein allgemeingültiges Muster für eine Fernwartung nach DSGVO-Vorgaben gibt es nicht, da es hier immer einer Einzelfallbetrachtung bedarf. Wichtig ist neben den oben genannten Verträgen beispielsweise auch der Sitz der Techniker*innen, die die Fernwartung durchführen. Ist der Sitz des externen Dienstleisters / der externen Dienstleisterin außerhalb der EU, kommt es zu einem Datentransfer in ein Drittland und es bedarf eines extra angepassten Vertrags.

Beim Thema Fernwartung und Datenschutz ist es aber unabdingbar, all diese Dinge bereits vor dem Fernzugriff auf unternehmensinterne Hard- und Softwaresysteme zu regeln. Nur so kann der Schutz gespeicherter personenbezogener Daten sichergestellt werden. Haben Sie eine*n Datenschutzbeauftragte*n in Ihrem Unternehmen, sollte diese*r vor der geplanten Fernwartung zudem auf jeden Fall hinzugezogen werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!