Fernwartung

Fernwartung ist Auftragsdatenverarbeitung

Risiken f├╝r den Datenschutz

Immer mehr Speicherstellen nehmen zur Bew├Ąltigung ihrer EDV- Probleme externe Hilfe in Anspruch.
Vielfach geschieht dies im Rahmen einer Fernwartung.
Die zu Rate gezogenen Service- und Softwarespezialisten klinken sich dabei per Datenleitung in das EDV-System ein.

Damit gehen Risiken f├╝r den Datenschutz einher:

  • Ein neuer Zugang zum Rechner wird geschaffen.
  • Zugriffsm├Âglichkeiten auf gespeicherte personenbezogene Daten werden dem Fernwartungspersonal er├Âffnet.
  • Der Rechnerbetreiber kann nur begrenzt kontrollieren, welche Person tats├Ąchlich die Fernwartung durchf├╝hrt.

Was ist zu tun?

Bei jeder Fernwartungsma├čnahme, insbesondere bei besonders sch├╝tzenswerten Daten (z.B. Arzt-, Sozial-, Steuergeheimnis) ist zu kl├Ąren, ob und inwieweit mit personenbezogenen Daten gearbeitet werden muss.

Ein Zugriff des Wartungspersonals auf diese Daten kann nur ausnahmsweise in Betracht kommen, wenn sich ohne Kenntnis der Daten der Fehler des EDV-Systems nicht beheben l├Ąsst.

Daher m├╝ssen Speicherstellen die Fernwartung eindeutig in einem
schriftlichen Vertrag regeln und eine Reihe von Sicherheitsma├čnahmen treffen.

Die Checkliste zur Fernwartung gibt einen ├ťberblick ├╝ber solche Sicherheitsma├čnahmen. Was im Einzelnen im Fernwartungsvertrag zu regeln ist, h├Ąngt von den Umst├Ąnden des Einzelfalls ab.

Checkliste zur Fernwartung

1. Ma├čnahmen zur Zugangskontrolle

1.1 Bei der Fernwartung muss der Verbindungsaufbau stets durch den Auftraggeber erfolgen, so dass Fernwartungsarbeiten nur mit seinem Wissen und Willen beginnen k├Ânnen.
Die Anschlussnummer der Fernwartungszentrale ist im EDV- System des Auftraggebers fest zu hinterlegen, so dass das Anw├Ąhlen einer unzul├Ąssigen Nummer unm├Âglich wird.

1.2 Nach Abschluss der Fernwartungsarbeiten ist die Fernwartungsverbindung unverz├╝glich abzubauen.

1.3 Der Auftraggeber muss die Fernwartungsarbeiten jederzeit abbrechen k├Ânnen.

2. Organisation der Datentr├Ągerkontrolle

2.1 Der Auftragnehmer darf personenbezogene Daten im Wege eines Filetransfers oder Downloads f├╝r Zwecke der Fehleranalyse und -behebung nur dann vom EDV-System des Auftraggebers abziehen und auf sein eigenes kopieren, wenn er daf├╝r zuvor die schriftliche Erlaubnis des Auftraggebers eingeholt hat. Der Auftraggeber darf die Erlaubnis dazu nicht erteilen, wenn der ├ťbertragung besondere Geheimhaltungsregelungen (z.B. ├Ąrztliche Schweigepflicht) entgegenstehen.

2.2 Alle Fernwartungsaktivit├Ąten m├╝ssen an einem Kontrollbildschirm des Auftraggebers zum Mitlesen sichtbar gemacht werden.

3. Ma├čnahmen zur Speicherkontrolle

3.1 Das Fernwartungspersonal muss sich einer Anmeldeprozedur unterziehen. Diese muss aus einer Identifikation (Benutzerkennung) und einer Authentifikation (Passwort) bestehen. Die Fernbetreuung von Anwenderprogrammen ist unter einer Kennung vorzunehmen, die keine Systemverwalterprivilegien einschlie├čt.

3.2 Der Auftraggeber muss alle ablauff├Ąhigen Programme auf seiner EDV-Anlage durch geeignete Zugriffsschutzmechanismen sch├╝tzen, damit das Fernwartungspersonal nicht unkontrolliert auf Dateien zugreifen kann.

3.3 Der Auftraggeber r├Ąumt dem Fernwartungspersonal nur solche Zugriffsm├Âglichkeiten ein, die f├╝r die Durchf├╝hrung der Fernwartungsarbeiten unbedingt erforderlich sind. Dabei verhindert der Auftraggeber grunds├Ątzlich den Zugriff auf personenbezogene Daten.

4. Ma├čnahmen zur Zugriffskontrolle

4.1 Die dem Auftragnehmer zur Durchf├╝hrung der Fernwartungsarbeiten offenbarten Passw├Ârter muss der Auftraggeber nach Abschluss der Fernwartungsarbeiten unverz├╝glich ├Ąndern.

4.2 Der Auftraggeber protokolliert die Fernwartungsaktivit├Ąten automatisch, ├╝berpr├╝ft die Protokolle und bewahrt sie f├╝r Kontrollzwecke ein Jahr auf. Die Verpflichtung des Auftraggebers,
die Fernwartungsarbeiten am Bildschirm zu verfolgen und gegebenenfalls zu unterbrechen, bleibt davon unber├╝hrt.

5. Ma├čnahmen der Transportkontrolle

Zur Sicherung von Vertraulichkeit, Integrit├Ąt und Authentizit├Ąt der ├╝bertragenen Daten k├Ânnen eine Verschl├╝sselung und Signierung der Daten auf dem ├ťbertragungsweg zwischen EDV- System des Auftraggebers und Fernwartungszentrale erforderlich sein.

6. Ma├čnahmen zur Organisationskontrolle

6.1 Der Auftragnehmer teilt dem Auftraggeber die f├╝r die Durchf├╝hrung von Fernwartungsarbeiten autorisierten Mitarbeiter mit.

6.2 Der Auftragnehmer l├Ąsst die Fernwartung nur von solchen Personen durchf├╝hren, die auf das Datengeheimnis (z.B. ┬ž 5 des Bundesdatenschutzgesetzes) verpflichtet sind.

6.3 Der Auftragnehmer verpflichtet sich, bei Fernwartung in sensiblen Bereichen, beispielsweise bei Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen, nur festangestellte Mitarbeiter f├╝r Fernwartungsarbeiten einzusetzen, die nach dem Verpflichtungsgesetz verpflichtet sind.

6.4 Personenbezogene Daten, die dem Auftragnehmer im Rahmen der Erf├╝llung dieses Vertrags bekannt werden, darf der Auftragnehmer nur f├╝r Zwecke der Fernwartung verwenden.
Eine Weitergabe dieser Daten an Dritte ist dem Auftragnehmer untersagt.

6.5 Der Auftragnehmer muss personenbezogene Daten, die er bei der Fernwartung erhalten hat, unverz├╝glich l├Âschen oder dem Auftraggeber zur├╝ckgeben, wenn sie f├╝r die Durchf├╝hrung der Fernwartungsarbeiten nicht mehr erforderlich sind.

6.6 Die Systemverantwortlichen beim Auftraggeber sind regelm├Ą├čig ├╝ber den Ablauf der Fernwartung und die dabei zu treffenden Sicherheitsma├čnahmen zu schulen.

6.7 Der Auftraggeber ├╝berpr├╝ft regelm├Ą├čig die Einhaltung der getroffenen Sicherheitsma├čnahmen.

7. Schriftliche Regelungen

7.1 Der Auftraggeber muss f├╝r die Fernwartung ein Datenschutz- und Sicherheitskonzept erstellen.

7.1 In einem Fernwartungsvertrag sind insbesondere Art und Umfang der Fernwartungsarbeiten sowie die technischen und organisatorischen Sicherheitsma├čnahmen festzulegen.

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbeh├Ârde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittl├Ąnder
Datentr├Ągerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabw├Ągung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxger├Ąte
Laptops/Notbeooks/Blackberry
Letter Shops
L├Âschungskonzept
Meldepflicht
nicht-├Âffentliche Stelle
├Âffentliches Verfahrensverzeichnis
Organisationskontrolle
├Âffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Ma├čnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
├ťbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs├╝bersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, ├Âffentliches
Verfahrenverzeichnis
Verf├╝gbarkeitskontrolle
Vernichtung von Schrifgut und Datentr├Ągern
Video-Beobachtung und Video├╝berwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung