Fernwartung im Rahmen der Auftragsverarbeitung
Die alleinige Wartung von Rechnern und Verfahren durch das eigene Personal ist heutzutage wegen der fehlenden Spezialkenntnisse vielfach nicht mehr möglich, so dass bei Störungen sowie bei auftretenden Fehlern aufgrund der Abhängigkeit von einer funktionierenden IT-Verarbeitung oft externe Fachleute eingeschaltet werden müssen. Das geschieht in der Regel in Form einer Ferndiagnose und -wartung. Jede Fernwartung birgt aber auch die Möglichkeit eines Missbrauchs.
Schnelle Hilfe in der Not
Die Vorteile einer Fernwartung sind insbesondere die schnelle Hilfe (und somit die Gewährleistung einer höheren Verfügbarkeit), relativ geringe Kosten und die ständige Abrufbarkeit von Spezialisten. Es besteht aber gerade bei einer Fernwartung immer die Gefahr, dass sensible Informationen bewusst oder unbewusst an Außenstehende offenbart werden (müssen).
Gefahr der Offenbarung personenbezogener Daten
Bei einer reinen Hardwarewartung wird in der Regel nur auf bestimmte Statusinformationen in eigens dafür eingerichteten Diagnosedateien zugegriffen, die keine personenbezogenen Daten enthalten. Bei vielen DV-Systemen kann aber die Fehlerdiagnose und -behebung mit einer Offenbarung geschützter personenbezogener Daten (z. B. bei der Behebung von Fehlern in Anwendungen) verbunden sein.
Die Ergreifung von Sicherheitsmaßnahmen ist unbedingt erforderlich
Deshalb sollte jedes Unternehmen, das Fernwartung nutzt, auf die Einhaltung bestimmter zusätzlicher technisch-organisatorischer Sicherheitsmaßnahmen sowohl in seinem eigenen Betrieb als auch auf Seiten des Auftragsverarbeiters achten, um sich nicht unbewusst erhöhten Sicherheitsrisiken auszusetzen. So ist insbesondere der Fernwartungszugriff auf ein Kundensystem durch einen mehrstufigen Zugangsschutz abzusichern.
Vertrauen ist gut, Vertrag ist besser
Bei der Wartung und Fernwartung handelt es sich um eine Art von Auftragsverarbeitung, so dass es sich empfiehlt, Vereinbarungen über Art und Umfang der Wartung in einer schriftlichen Vereinbarung (Vertrag) zu fixieren. Ein solcher Vertrag sollte die Kompetenzen und Pflichten des Wartungspersonals einerseits und des Kundenpersonals andererseits regeln. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen.
In einem Wartungsvertrag sind deshalb folgende Sachverhalte anzusprechen:
- Umfang und Art der Wartung
- Pflichten des Verantwortlichen
- Pflichten des Auftragsverarbeiters
- Verfügbarkeit der Wartung (z. B. rund um die Uhr)
- Verpflichtung des Wartungspersonals auf Geheimhaltung
- besondere Sicherheitsanforderungen beim Zugriff auf das Kundensystem
- besondere bei der Fernwartung einzuhaltende Sicherheitsmaßnahmen
- Modalitäten für die Einschaltung von Subunternehmern
- Haftung und Schadensersatz
So sind Sie auf der sicheren Seite
Bei Einsatz einer Fernwartung ist insbesondere auf die Einhaltung folgender Regeln zu achten:
- Das Unternehmen als Auftraggeber ist und bleibt für seine Daten und Verfahren verantwortlich und muss damit den Datenschutz und die Datensicherheit gewährleisten.
- Dazu definiert der Verantwortliche Art und Umfang der Fernwartung sowie die Abgrenzung der Kompetenzen und Pflichten zwischen Wartungs- und Kundenpersonal im Wartungsvertrag. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen.
- Der Kreis des autorisierten Wartungspersonals sollte – soweit möglich – genau festgelegt sein.
- Dem Auftragsverarbeiter ist vertraglich vorzuschreiben, dass er sein Personal zur Vertraulichkeit zu verpflichten hat.
- Die Weitergabe der im Rahmen der Fernwartung anfallenden Daten ist zu untersagen.
- Für die Durchführung der Fernwartung muss eine eigene Benutzerkennung eingerichtet werden. Das dazugehörige Passwort ist nach jedem Wartungsvorgang zu ändern bzw. es sind Einmalpasswörter zu verwenden.
- Dem Auftragsverarbeiter sind nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind. Insbesondere gilt dies für Systemverwalterprivilegien und den Zugriff auf personenbezogene Daten. Im Rahmen der Fernwartung dürfen keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Anwenderdatenbeständen zulassen. Eine Übertragung personenbezogener Daten zur Fernwartungsstelle muss auf den Einzelfall beschränkt sein und nur mit Einverständnis des Auftraggebers erfolgen können. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist zu unterbinden.
- Sollte es im Ausnahmefall dennoch erforderlich sein, dass personenbezogene Daten zwecks Fehlerbestimmung zum Auftragsverarbeiter übermittelt werden müssen, ist der Auftragsverarbeiter vertraglich dazu verpflichten, dass nach Abschluss der Wartungsarbeiten all diese Daten unverzüglich datenschutzgerecht gelöscht werden.
- Soweit möglich müssen alle Aktivitäten im Rahmen der Fernwartung von einem Mitarbeiter des Auftraggebers online mitverfolgt werden. Im Zweifelsfalle muss dieser Mitarbeiter auch die Aktivitäten jederzeit abbrechen können, insbesondere dann, wenn er feststellt, dass unberechtigterweise und unnötigerweise auf geschützte Kundendateien zugegriffen wird soll.
- Alle Aktivitäten der Fernwartung (inklusive etwaiger versuchter Fernzugriffe) sind beim Verantwortlichen vor Ort revisionssicher aufzuzeichnen und müssen anhand der entsprechenden Protokolle ausgewertet werden können. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde.