Datenschutz bei der IT-Wartung: Risiken und Stolpersteine auf einen Blick

28.11.2017

1network-915569_1280

Ob Server, Workstation oder Laptop, IT-Systeme in Unternehmen bedürfen einer regelmäßigen Wartung. IT-Wartungen sind notwendig, um einen sicheren Betrieb der Systeme zu gewährleisten. Dementsprechend ist es nicht ungewöhnlich, dass von Zeit zu Zeit Softwareupdates durchgeführt oder auch Hardware-Komponenten getauscht werden.

Wartung der IT-Systeme durch externe Dienstleister

Nur wenige Unternehmen führen solche Arbeiten vollständig selbst durch. Die meisten lassen sich von externen Dienstleistern helfen. Es ist üblich, dass Wartungsverträge / Service-Level-Agreements (SLA) mit Herstellern oder Systemhäusern geschlossen werden. In solchen Verträgen sind Service- und Wartungsleistungen genau festgelegt, so werden z.B. Umfang und Kosten geregelt.

Häufig werden solche Serviceleistungen nicht nur von einem Unternehmen in Anspruch genommen. Viele Dienstleister kümmern sich nur um Teilbereiche, wie z.B. Netzwerktechnik oder bestimmte Softwarelösungen. Gerade bei spezieller Software, wie z.B. ERP-Systemen, werden Verträge mit dem Anbieter geschlossen. Dieser steht dann zur Verfügung, wenn beispielsweise Updates zu installieren sind oder eine Migration auf andere Systeme vorgesehen ist. Dementsprechend schließen Unternehmen oft mehrere Service-Level-Agreements mit verschiedenen Anbietern ab.

Oft übersehenes Risiko: Auftragsdatenverarbeitung

Zahlreichen Verantwortlichen kommt gar nicht in den Sinn, dass solch eine IT-Wartung mit dem betrieblichen Datenschutz in Verbindung stehen könnte. Schließlich stehen Hardware oder Software im Mittelpunkt, jedoch nicht personenbezogene Daten. Allerdings wird eine Sache gerne übersehen: Personen, die Wartungsarbeiten an IT-Systemen durchführen (ob vor Ort oder mittels Fernwartung), könnten Zugriff auf Daten mit Personenbezug erhalten. Dies ist wiederum ein Risiko, zumal eine Auftragsdatenverarbeitung festgestellt werden kann.

Einige meinen, eine IT-Wartung sei etwas ganz anderes, sodass keine Auftragsdatenverarbeitung vorliegt. Allerdings kommt es auf den genauen Sachverhalt vor. Laut Bundesdatenschutzgesetz (BDSG) liegt eine Auftragsdatenverarbeitung vor, sofern nicht ausgeschlossen werden kann, dass der Dienstleister Einsicht / Zugriff auf personenbezogene Daten haben kann.

Dementsprechend ist ein fundierter Nachweis entscheidend. Aus ihm muss hervorgehen, dass keine Auftragsdatenverarbeitung vorliegt, weil z.B. ausschsließlich an Systemen gearbeitet wird, auf denen sich keine Daten mit Personenbezug befinden und von dort aus auch kein Zugriff auf betroffene Systeme möglich ist. Ebenso kann ein Zugriff / die Einsicht auf personenbezogene Daten auszuschließen sein, sofern eine wirksame Verschlüsselung vorliegt. Wichtig ist, dass solch eine Vermutung im Detail zu prüfen und entsprechend zu dokumentieren ist.

Im Hinblick auf die kommende EU Datenschutzgrundverordnung (EU-DSGVO) wird die Thematik noch komplexer. Die EU-DSGVO regelt die IT-Wartung nicht explizit, weshalb Juristen und weitere Experten für Datenschutz verschiedene Ansichten vertreten. Die sicherste Lösung besteht jedoch zweifelsohne darin, von einer Auftragsdatenverarbeitung auszugehen. Solch eine Vorgehensweise verspricht vor allem langfristige Sicherheit.

Vertrag über Auftragsdatenverarbeitung sowie Wartungsvertrag sicher gestalten

Sofern bei der IT-Wartung ein Zugriff auf personenbezogene Daten nicht auszuschließen ist und somit von einer Auftragsdatenverarbeitung ausgegangen wird, ist ein entsprechender Vertrag abzuschließen. Für einen nachhaltigen Datenschutz bzw. ein hohes Datenschutzniveau sollte der Vertrag unter Berücksichtigung der kommenden EU-DSGVO ausgestaltet sein.

Ein ebenfalls kritisches Thema ist eine mögliche Schweigepflicht. Angenommen der Auftraggeber ist Arzt oder Rechtsanwalt, gilt es sicherzustellen, dass es durch die IT-Wartung zu keiner unbefugten Offenbarung kommt. Hier sind für den Datenschutz besondere Maßnahmen zu ergreifen.

Sofern keine Auftragsdatenverarbeitung vorliegt, sollte zumindest ein Wartungsvertrag abgeschlossen werden. Der Wartungsvertrag ist eine essentielle Maßnahme, um entscheidende Regelungen zu treffen und Ihre Haftungsrisiken als Auftraggeber zu minimieren. Es ist festzuhalten, welche Art von Wartung erfolgt und in welchem Umfang dies geschieht. Außerdem sollte der Wartungsvertrag eine Vertraulichkeitsvereinbarung enthalten. Sollte sich der Auftragnehmer nicht an die vertraglichen Vereinbarungen halten, kann er haftbar gemacht werden.

Wir schaffen sichere Rahmenbedienung in Ihrem Unternehmen

Sie verarbeiten auf Ihren IT-Systemen Daten mit Personenbezug? Gerne helfen wir Ihnen dabei, die Wartung der Systeme abzusichern, damit sie datenschutzrechtlicher Sicht zulässig ist. Wir können z.B. das Datenschutznivea analysieren und Unterstützung bei der Vertragsgestaltung leisten. Als externer Datenschutzbeauftragter haben wir solchen Themen im Tagesgeschäft zu tun. Sofern Sie kein Bedarf an der Bestellung eines externen Datenschutzbeauftragten haben, dennoch mehr erfahren möchten, stehen wir Ihnen gerne im Rahmen unserer Datenschutzberatung zur Verfügung. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 (gebührenfrei) oder über unser Kontaktformular.

Schreibe einen Kommentar