Möglicher Zugriff durch Dritte
Im Datenschutz geht es vor allem darum, personenbezogene Daten und damit den Betroffenen vor Schaden zu schützen. Die Vorgaben dafür wurden unter anderem in der Datenschutzgrundverordnung (DS-GVO) festgehalten, welche zwingend eingehalten werden müssen, denn bei Nichteinhaltung drohen empfindliche Geldstrafen.
Gerade, wenn externe Dritte in die Arbeitsabläufe eingebunden werden, sollte der Datenschutz noch einmal genau überprüft werden. Dazu gehören zum Beispiel Wartungsarbeiten an Programmen, Geräten oder Systemen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Datenschutz bei Wartungsarbeiten beachten
Wartungsarbeiten sind an unterschiedlichen Stellen in den Abläufen möglich und nötig, auch um die Sicherheit der Systeme zu garantieren. Daher können verschiedene personenbezogene Daten betroffen sein. Besonderes Augenmerk ist auch darauf zu legen, wenn es sich um eine Fernwartung handelt. Zu bedenken ist dabei zum Beispiel, wie die Wartung erfolgt, welche Kanäle sind betroffen, wie erfolgt eine mögliche Übermittlung und ein Zugriff.
Die Zugriffe bei der Fernwartung müssen natürlich entsprechend durch technische und organisatorische Maßnahmen (TOM) abgesichert werden. Zugänge sollten dabei geprüft und Übermittlungswege abgesichert werden, damit nicht durch Unbefugte ein Abgriff der Daten erfolgen kann.
Alle Schnittstellen in Systemen und Abläufen prüfen
Ebenso müssen die Geräte und Programme, mit welchen jegliche Wartung durchgeführt werden auf Schwachstellen hin geprüft werden. Jede Wartung stellt einen Eingriff in das (interne) System eines Unternehmens oder einer anderen Organisation dar.
Wo werden personenbezogene Daten verarbeitet?
Um Datenpannen durch eine unrechtmäßige Verarbeitung zu verhindern, muss erst einmal klar sein, wo überall personenbezogene Daten verarbeitet werden. Das bedeutet, dass man im ersten Schritt definiert, welche Prozesse durch die Wartungen betroffen sind und im nächsten Schritt geprüft wird, welche personenbezogenen Daten dort verarbeitet werden.
Wo es möglich ist, sollte der Zugriff der Wartungsfirmen auf personenbezogene Daten zumindest beschränkt, am besten komplett eingeschränkt werden. Soweit möglich sollte also kein Zugriff durch Dritte auf personenbezogene Daten von Betroffenen möglich sein.
Das ist nicht immer möglich, daher muss in diesen Fällen festgelegt werden, wie der Datenschutz eingehalten wird.
(Fern-)Wartungen als Sicherheitsrisiko für den Datenschutz
Je nachdem wie die Fernwartung erfolgt, spricht man von aktiver oder passiver Fernwartung. Aktiv ist eine Fernwartung dann, wenn der Techniker von außen in das System eingreift und dort Änderungen vornimmt.
Dabei unterscheidet man unter begleiteter oder unbegleiteter Fernwartung. Wie der Name schon sagt, wird bei einer begleiteten Fernwartung der Techniker durch den Verantwortlichen oder andere Zuständige unterstützt. Bei der unbegleiteten Fernwartung erfolgt diese durch den Wartungstechniker.
Im Unterschied dazu werdend bei der passiven Fernwartung lediglich der Bildschirminhalt oder Daten an den Techniker übermittelt, welcher dann die Anweisungen für entsprechende Tätigkeiten an den Fachkundigen oder den Verantwortlichen weitergibt. Diese Fernwartung ist daher also in der Regel begleitet.
Zugriff auf Daten und Systeme beinhalten immer Risiken
Wann immer Zugriffe auf Systeme und personenbezogene Daten gewährt werden, entsteht ein Sicherheitsrisiko. Dies kann auf verschiedenen Ebenen der Fall sein. Beispielsweise können Daten ohne rechtliche Grundlage durch den Anbieter der Wartung verarbeitet oder auch abgegriffen werden. Bei nicht ausreichender Sicherung der Daten und deren Übertragung oder schädlicher Software, die genutzt wird, können Sicherheitslücken entstehen, durch die Hacker Zugriff auf Systeme und Daten erlangen.
Es muss also bei jeder Wartung von unterschiedlichen Systemen auf den verschiedenen Ebenen darauf geachtet werden, Datensicherheit und Datenschutz einzuhalten. Dafür gilt es ein Sicherheitskonzept, auch in Zusammenarbeit mit dem Wartungstechniker, zu erstellen.
Anbieter prüfen – Umgang mit Datenschutz festlegen
Die Zusammenarbeit mit einem vertrauensvollen Partner ist dabei ein weiterer Baustein sowohl im Datenschutz als auch in der Datensicherheit. Daher sollten die Anbieter vor der Wartung genau geprüft werden und der Umgang mit dem Datenschutz entsprechend festgelegt werden. Dies muss im Datenschutz unter Umständen mit einem AV-Vertrag abgesichert werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Fernwartungen im Datenschutz aufnehmen
Wartungen bzw. Fernwartungen betreffen also auch den Datenschutz und müssen entsprechend dort aufgenommen werden. Das bedeutet, dass die Verarbeitungen von personenbezogenen Daten entsprechend im Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen werden und durch ausreichende technische und organisatorische Maßnahmen (TOM) geschützt werden. Je nach Art der personenbezogenen Daten, müssen auch eine Risikoanalyse und eine Datenschutzfolgenabschätzung durchgeführt werden.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO
In jedem Fall sollte der (externe) Datenschutzbeauftragte in die Prozesse der (Fern-)Wartung eingebunden werden. Dieser kann dann entsprechende Empfehlungen im Umgang mit den personenbezogenen Daten geben.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.