Fernwartung & Datenschutz

Datenschutz und Datensicherheit spielen im IT-Bereich eine wichtige Rolle. Aber nicht alle IT-Abteilungen in Unternehmen aktualisieren und warten interne Hardware, Software und Server selbst, um nach den Vorgaben der technischen und organisatorischen Maßnahmen (TOM) immer auf dem neusten technischen Stand zu sein. Vielfach ist dies auch aufgrund des genutzten Hard- und Softwareumfangs schlicht nicht möglich und es werden externe IT-Dienstleister für Fernwartungen hinzugezogen. Im Sinne der IT-Sicherheit ist es beim Thema Fernwartung unerlässlich, die nötigen Sicherheitsstandards zum Schutz personenbezogener Daten zu gewährleisten.

DSGVO & Fernwartung: Wie sind die Vorgaben?

Das Thema Fernwartung wird von der DSGVO nicht explizit geregelt, weswegen hier bei Jurist*innen und anderen Expert*innen Uneinigkeit besteht. Wir empfehlen jedoch, den sicheren Weg zu wählen und einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit den jeweiligen Dienstleister*innen für die anstehende IT-Wartungen zu schließen.

Hintergrund ist folgender: Auch wenn der IT-Wartungsvertrag nur einen bestimmten Teil eines Systems für die Fernwartung vorsieht, kann meist nicht ausgeschlossen werden, dass die IT-Dienstleister*innen, die die Fernwartung durchführen, Einsicht bzw. Zugriff auf personenbezogene Daten erlangen. Es ist dabei nicht entscheidend, ob ein Zugriff / Einsicht auf personenbezogene Daten tatsächlich erfolgt, sondern allein die Tatsache, dass dieser Zugriff bzw. Einsicht nicht ausgeschlossen werden kann, verlangt einen AV-Vertrag. So sichern Sie Ihr Unternehmen ab, da Sie im AV-Vertrag genaue Vorgaben zum Umgang mit den personenbezogenen Daten geben, für die Sie verantwortlich sind.

Auf einen AV-Vertrag sollten Sie nur verzichten, wenn:

• Ihre Daten in einer Art und Weise verschlüsselt sind, dass diese von den Techniker*innen, die die Fernwartung durchführen, nicht gelesen werden können;
• Ein Nachweis seitens der Techniker*innen erbracht wird, dass keine personenbezogenen Daten von der Fernwartung betroffen sind.

Fernwartung und Datenschutz: Welche Verträge braucht es?

Abseits vom oben genannten AV-Vertrag sollten Sie unbedingt auf zwei weitere Verträge achten, die bereits vor der Fernwartung abgeschlossen werden müssen:

• Wartungsvertrag (Service-Level-Agreement (SLA)): In einem solchen Wartungsvertrag wird nicht nur der Umfang der IT- oder Fernwartung festgelegt, sondern er führt auch für den Datenschutz relevante Punkte auf, wie die betroffenen Systeme und den Zeitpunkt der Wartung.
• Verschwiegenheitsvereinbarung: Eine Verschwiegenheitserklärung ist oftmals bereits Bestandteil eines Wartungsvertrags, kann aber auch separat abgeschlossen werden. Vor allem, wenn es um Fernwartungen in Bereichen geht, in denen der Datenschutz einen besonders hohen Stellenwert hat – wie z.B. in Arztpraxen – muss auf eine solche Erklärung bestanden werden. Im schlimmsten Fall kann es ohne eine Verschwiegenheitserklärung zu einer Verletzung der Schweigepflicht und damit zu einer Offenbarung sensibler Daten kommen, sollte der / die IT-Dienstleister*in Zugriff oder Einsicht auf  / in besonders sensible personenbezogene Daten erhalten.

Gibt es ein DSGVO-Muster für Fernwartungen?

Ein allgemeingültiges Muster für eine Fernwartung nach DSGVO-Vorgaben gibt es nicht, da es hier immer einer Einzelfallbetrachtung bedarf. Wichtig ist neben den oben genannten Verträgen beispielsweise auch der Sitz der Techniker*innen, die die Fernwartung durchführen. Ist der Sitz des externen Dienstleisters / der externen Dienstleisterin außerhalb der EU, kommt es zu einem Datentransfer in ein Drittland und es bedarf eines extra angepassten Vertrags.

Beim Thema Fernwartung und Datenschutz ist es aber unabdingbar, all diese Dinge bereits vor dem Fernzugriff auf unternehmensinterne Hard- und Softwaresysteme zu regeln. Nur so kann der Schutz gespeicherter personenbezogener Daten sichergestellt werden. Haben Sie eine*n Datenschutzbeauftragte*n in Ihrem Unternehmen, sollte diese*r vor der geplanten Fernwartung zudem auf jeden Fall hinzugezogen werden.